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INTRODUZIONE 

Questo testo affronta la sicurezza nel mondo Java da due punti di vista: 
I'architettura della piattaforma, quali sono gli accorgimenti che la rendono 
sicura e quali le vulnerability strutturali e di implementazione che po- 
trebbero rendere le proprie applicazioni non sicure. L'altro aspetto illustrato 
e I'insieme di API per la sicurezza che permettono di accedere ad algo- 
ritmi di crittatura, autenticazione ed autorizzazione. 
In altre parole verra fatta una distinzione tra gli approcci di programmazione 
che rendono sicuro un programma, e quelli che lo espongono ad attacchi 
esterni. Verranno affrontati i meccanismi che la piattaforma Java met- 
te in atto per difendere il programma indipendentemente dall'appor- 
to del programmatore. In questo ambito, si vedranno le vulnerability 
rilevate dagli enti preposti, sostanzialmente problemi strutturali, che 
rendono non sicura I'applicazione, anche se questa e stata scritta con 
tutti i piu accorgimenti del caso. 

Una volta affrontati questi aspetti, si entrera maggiormente nella trattazione 
delle API di supporto applicativo a supporto della sicurezza. Ad esem- 
pio, si imparera come crittare, utilizzando diversi algoritmi, un blocco di 
dati, in modo di trasmetterlo in modo sicuro. Si vedra come stabilire una 
connessione sicura basata su SSL, per comunicare utilizzando un cana- 
le protetto tramite una tecnologia standard. Si affronteranno le funzio- 
nalita di supporto alia gestione dell'autenticazione, la definizione di uten- 
ti e ruoli, la protezione di parti dell'applicazioni verso I'uso non autoriz- 
zato. Si studiera il modo di autenticare gli utenti utilizzando sistemi stan- 
dard, come Kerberos, risorse JNDI, utenti UNIX od il sistema di autenti- 
cazione di Windows NT. 

PREREQUISITE 

Gli esempi illustrati nel testo si basano su Java 5.0, per questo mo- 
tivo e necessario avere installato sulla propria macchina questa ver- 
sione del linguaggio, scaricabile dal sito di SUN Microsystems al- 
I' i ndi rizzo (http:lljava.sun. com/j2se/1.5. 0/download.jsp). 
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STRUTTURA CAPITOLI 

II testo e organizzato su sei capitoli. Dopo una prima parte intro- 
duttiva viene affrontata I'architettura di sicurezza della piattaforma 
Java e poi le diverse API orientate alia sicurezza disponibili. I capi- 
toli sono i seguenti: 

II problema della sicurezza. In questo capitolovengono introdotte le 
problematiche di sicurezza, la figura e la storia degli hacker e vengono il- 
lustrate diverse tipologie di attacchi che possono essere scatenati contra 
lenostreapplicazioni; 

Sicurezza nella piattaforma Java. La trattazione della sicurezza nel- 
la piattaforma Java inizia dall'architettura della piattaforma, in quanta que- 
sto elemento e stato profuso in Java fin dalle basi. Vengono introdotti i 
dettagli che rendono sicuro il linguaggio Java e le classi di base per la 
gestione della sicurezza, come il gestore della sicurezza, i permessi, i ri- 
chiedenti e le identita; 

Autenticazione. In questo capitolo viene introdotta I'API JAAS e mo- 
strato come eseguire I'autenticazione degli utenti in modo standard, 
mostrando un esempio concrete di lettura dei permessi di accesso su 
sistema Unix; 

Autorizzazione. Completando il discorso iniziato nel capitolo 3, qui 
viene conclusa la trattazione del I'API JAAS, con I'illustrazione delle 
funzionalita per I'autorizzazione degli utenti a svolgere operazioni 
sensibili per la sicurezza dell'applicazione; 
Crittografia. In questo capitolo viene introdotta I'API JCE e 
con essa le classi che implementano i principali algoritmi di crit- 
tografia nella piattaforma Java. Nel corso del capitolo viene il- 
lustrate come ottenere chiavi di crittografia e cifrare testi e fi- 
le, passando poi alia trattazione di oggetti sigillati e controlla- 
ti, ed alia gestione dei numeri casuali; 
Comunicazione sicura. La crittografia viene qui applicata nel con- 
testo della comunicazione remota. Viene introdotta I'API JSSE (Java 
Security Socket Extension), che consente di utilizzare socket di co- 
municazione che cifrano i dati in passaggio; 
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CONVENZIONI 

Gli esempi fanno un ampio uso di classi anonime, un costrutto 
del linguaggio Java che consente di realizzare classi direttamen- 
te aH'interno del codice di altri metodi, senza dichiarare la nuova 
classe con la parola chiave class. E un costrutto basilare nel linguaggio 
Java, ma potrebbe essere poco noto ai novizi di questa piattafor- 
ma. Nel codice seguente, viene creata una sottoclasse anonima del- 
la classe Panel, che avviene specificando del codice dopo la co- 
struzione dell'oggetto tramite I'operatore new. II metodo paint ( ) 
e dunque parte della sottoclasse anonima dell'oggetto Panel: 

frame.add( new Panel() { 

public void paint( Graphics g ) { 
Graphics2D g2 = (Graphics2D)g; 
g2.drawlmage( image, 0, 0, this ); 

} 

}); 

il codice descritto e equivalente al seguente: 

class MyPanel extends Panel { 

public void paint( Graphics g ) { 
Graphics2D g2 = (Graphics2D)g; 
g2.drawlmage( image, 0, 0, this ); 

} 

} 

//... 

frame.add( new MyPanel() ); 

lo stesso meccanismo si applica alle interfacce: se il nome dopo I'o- 
peratore new identifica una interfaccia, la classe anonima diviene 
una classe che implementa quell'interfaccia. 
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QUALCHE UTILE NOTA STORICA 

Nel corso del testo si parlera della piattaforma Java, del linguaggio Java, 
di JDK1 .0 e di Java2. Tutti questi termini hanno a che fare con il mondo 
di Java, ma ciascuno di questi si riferisce ad un aspetto specifico di que- 
sto mondo. Per capire esattamente di cosa si sta parlando e utile riper- 
correre brevemente la storia dei principali rilasci di Java: 
23 maggio 1 995. Viene lanciata la tecnologia Java; 
23 gennaio 1996. Viene rilasciato il JDK1.0. In questo momenta si par- 
la di linguaggio Java, ed il kit di sviluppo, che comprende compilatore 
ed interprete e chiamato Java Developer Kit (JDK); 
9 dicembre 1996. Viene rilasciato in beta il JDK1.1; 
1 1 febbraio 1997. Viene rilasciato il JDK1.1 in versione definitiva. Que- 
sta versione aggiunge molte funzionalita, come le Applet firmate ed il 
supporto ai database relazionali; 

8 dicembre 1998. Viene rilasciata la piattaforma Java2. Si parla ora di 
piattaforma, perche oramai sono presenti moltissime API nelle librerie di 
base ed in quelle aggiuntive. Per marcare il netto miglioramento rispet- 
to al JDK1 .1 non si parla piu di Java, ma di Java 2. Vengono create le tre 
versioni J2SE, J2EE e J2ME; 

30 settembre 1 999. Viene rilasciata in beta la prima versione di J2EE; 
8 maggio 2000. Viene rilasciata la piattaforma Java2 in versione 1.3; 
dunque, a partire da Java2 cambiano nomi e terminologie, si rimarca 
I'essenza di Java, che non e solo un linguaggio, ma anche una piattaforma 
di sviluppo. Quindi: 

JDK1 .0 e I'insieme degli strumenti di sviluppo ed il linguaggio Java e in 
versione 1.0; 

JDK1.1 e I'insieme degli strumenti di sviluppo 1.1 ed il linguaggio Java 
e in versione 1.1; 

J2SE sta per Java2 Standard Edition; 
J2SE SDKe il nuovo nome del JDK; 

per J2SE 1 .3 SDK si intende il kit di sviluppo per la piattaforma Java2 
Standard Edition in versione 1.3.11 linguaggio Java e in versione 1 .3. 
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Si noti poi che: 

per piattaforma Java si intende I'insieme delle componenti (linguaggio, 
strumenti ed API) Java, ed ha senso a partire dalla versione Java2; 
per linguaggio Java si intende la sola sintassi e le classi di base. 

CODICE SORGENTE 

II codice sorgente presentato nel testo e disponibile per il down- 
load sul sito di ioProgrammo (www.ioprogrammo.net). 

AUTORE 

Massimiliano Bigatti lavora nel campo dell'informatica da quando 
si utilizzava lo Z80 per applicazioni commerciali. Dal 1 997 si occu- 
pa di Java, Internet, XML e Linux. E certificato, tra le altre, come SUN 
Certified Enterprise Architect for Java Platform 2 Enterprise Edition. 

E autore di centinaia di articoli pubblicati su svariate riviste e di di- 
vers i libri, i piu recenti "Java e Open Source" (Tecniche Nuove 2005) 
e "Java e Multimedia" (Edizioni Master 2004). 

Ha inoltre realizzato il portale http://javawebservices.it, che pub- 
blica giornalmente notizie, documentazione e newsletter dal mon- 
do deiWeb Services Java. 
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IL PROBLEMA DELLA SICUREZZA 

La sicurezza informatica e divenuta oggigiorno un problema 
pressante e sentito. Con il complicarsi dei sistemi elettronici, 
I'aumentare della quantita e qualita di informazioni in essi contenute 
ed il diffondersi del computer come strumento di gestione di processi 
anche molto critici, il problema del controllo dell'accesso, 
dellautorizzazione e cifratura divengono temi di sempre maggior 
scottante attualita. 

TIPI DI MINACCE 

Un elemento fondamentale per molte delle attivita illegali degli hacker 
e la rete di computer. La possibility di interagire con computer senza es- 
sere fisicamente in loro presenza permette I'utilizzo di svariate tecni- 
che, impossibili da applicare senza una rete. Per questo motivo I'affer- 
marsi di Internet come rete globale diviene un elemento scatenante per 
diverse attivita illecite. Attraverso Internet e infatti possibile sferrare di- 
verse tipologie di attacchi, dai semplici scherzi alle azioni piu gravi, che 
possono portare a gravi perdite di tempo e denaro. Un elenco di tipolo- 
gie di attacchi su Internet e il seguente: 

ingegneria sociale. Rientrano in questa categoria tutti gli attacchi non 
tanto diretti ai sistemi informatici, quanto alle persone. Sono inganni 
perpetrati per profitto, od anche solo per scherzo. Gli archetipi sono gli 
scherzi telefonici, magari adattati alle nuove tecnologie, quale la posta 
elettronica. Ad esempio, viene spedita una mail a tutti gli utenti di una 
rete universitaria. Ad inviarla e un generico "root", superutente di si- 
stema, che pero non ha niente a che vedere con la vera direzione della 
rete scolastica. Dietro questo "root" si cela in realta un hacker che richiede 
di cambiare la password fin qui utilizzata dall'utente con un'altra. A que- 
sto punto il malintenzionato puo entrare facilmente in rete con qualsiasi 
nome di utente, utilizzando la password che egli stesso ha ordinato di 
impostare. Una volta connesso, I'hacker cerchera un exploit per pren- 
dere il completo controllo del sistema. Un'altra tecnica e il phishing. 
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Questo termine, contrazione di password fishing (anche se si pen- 
sa che questa definizione sia apocrifa), identifica I'acquisizio- 
ne fraudolenta di informazioni personali sensibili, come pas- 
sword e dettagli di carte di credito. Per ottenere i dati sensibi- 
li un hacker si spaccia per un'altra persona o ente. Emette cioe 
messaggi immediati, mail, indirizzi Internet che sembrano uf- 
ficiali ed inviati da banche, provider di servizio o altri enti noti 
e riconoscibili con la richiesta di informazioni sensibili. Ad esem- 
pio, un hacker che si spacciasse per fornitore di servizi Inter- 
net (p.e. Libero o Fastweb) potrebbe inviare una mail chieden- 
do la conferma della password; una banca potrebbe richiede- 
re il numero di carta di credito per partecipare ad un fanto- 
matico concorso; siti di aste (p.e. eBay), potrebbero inviare una 
mail richiedendo la credenziali di accesso. Con questi sistemi, 
o similari, i delinquenti sono in grado di rubare dati che poi 
riutilizzeranno all'insaputa dei legittimi proprietari. 
sostituzione di persona. In questo caso I'hacker si impadro- 
nisce delle credenziali di un utente, magari tracciando una ses- 
sione di telnet. Utilizza poi i dati di accesso per entrare nel si- 
stema sotto le spoglie di un altro utente. In questo caso avvie- 
ne un furto di "identita", che viene sfruttato al fine di ottene- 
re un vantaggio maggiore, come il controllo di una rete di com- 
puter; 

exploit. Un exploit e lo sfruttamento di un punto vulnerabile 
di un programma, sistema operativo o dispositivo di rete al fi- 
ne di ottenere dati riservati o I'accesso a sistemi protetti. Nes- 
sun programma per computer e perfetto. Chi piu chi meno, tut- 
ti possiedono errori nella progettazione, programmazione, in- 
stallazione o configurazione. Sfruttando questi errori e possibile 
ottenere informazioni od eseguire funzioni protette, il cui accesso 
non e stato specificatamente permesso in fase di progettazio- 
ne del software; 

transitive trust. Con questa tecnica un malintenzionato pud 
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essere in grado di acquisire il controllo di un server o di una in- 
ters rete sfruttando I'accesso ad una singola stazione di lavo- 
ro. Questo potrebbe essere ad esempio un computer incustodito, 
connesso alia rete che I'hacker vuole compromettere. Sfruttan- 
do la possibility di un accesso fisico ad un terminale "fidato", 
I'hacker e in grado di sfruttare il rapporto di fiducia tra que- 
st'ultimo e I'intera rete per ottenerne I'accesso; 
minacce basate sui dati. Rientrano in questa categoria tutti 
gli attacchi perpetrati attraverso programmi che manipolano 
informazioni, come "troiani", virus ed altri software malevoli. Di- 
versamente dalle altre tipologie elencate, I'attacco e asincro- 
no. L'hacker infatti in un primo momenta scrive il virus, troiano 
od altro elemento software, e lo distribuisce ad altri utenti , uti- 
lizzando prevalentemente la rete. In un secondo momenta il 
software si attiva, compiendo I'azione per cui e stato progetta- 
to. Ad esempio: un virus potrebbe cancellare i dati presenti sul 
disco fisso, oppure un troiano comunicare all'hacker la presa 
di possesso di un computer remoto; 
di infrastruttura. Gli attacchi basati su infrastruttura sfrutta- 
no le caratteristiche o i bug degli elementi presenti in una installazione 
informatica. Questi possono includere programmi software, di- 
spositivi di sicurezza come i firewall, specifici protocolli di co- 
municazione. Sfruttando quanta disponibile, un cracker pub es- 
sere in grado di prendere il controllo di una rete o di sottrarre 
informazioni sensibili; 

denial of service (DoS). Questo tipo di attacco ha lo scopo di 
rendere inoperante un determinato sistema. Ad esempio, si 
bombarda di richieste un server Web, in modo da saturare le 
sue capacita di risposta. Una volta sovraccaricato dagli attacchi 
coordinati di diversi hacker, il server non sara piu in grado di ri- 
spondere neanche alle richieste dei normali utenti. Questa tec- 
nica e stata utilizzata spesso in passato per rendere inoperati- 
vi, temporaneamente, i server Web pubblici di note aziende. At- 
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tacchi coordinati attraverso Internet al solo scopo di danneg- 
giare I'immagine dell'impresa, visto che questi server, esposti 
sulla rete globale, solitamente vengono utilizzati solo per i si- 
ti pubblici. Questi hanno infatti spesso un mero scopo infor- 
mativo e non fanno girare servizi fondamentali per il business 
dell'azienda. Nonostante questo, un server che sia stato "tira- 
to giu" dagli hacker comporta all'azienda un danno di imma- 
gine notevole. 

Quelle elencate sono le principali tipologie di minacce che possono 
essere sferrate contra i nostri sistemi. Nei paragrafi successivi verranno 
approfondite le tipologie piu importanti. 

TECNICHE PER LA SICUREZZA 

Nel campo della sicurezza esistono diverse tecniche che vengono 
utilizzate congiuntamente per rendere sicuro un sistema. Si noti, 
pero, che le tecniche da sole non possono garantire la sicurezza. II 
livello di sicurezza di un sistema e infatti alto tanto quanta il com- 
ponente meno sicuro in esso. Questo significa che in una catena di 
componenti, I'anello piu debole, definisce il livello massimo di sicu- 
rezza dell'intero sistema. Non si calcola una media, ma si prende il 
valore minimo. Un hacker attaccherebbe quindi il componente me- 
no sicuro, poiche e il piu facile da compromettere. 
Per garantire la sicurezza si devono considerare diversi aspetti: 
autorizzazione. Un importante aspetto della sicurezza infor- 
matica e I'autorizzazione di accesso a determinate funzioni o 
dati. Questo aspetto e intimamente legato al riconoscimento de- 
gli utenti. Ad esempio, un utente generico di un sistema po- 
trebbe aver accesso solo a funzioni di consultazione, mentre 
un responsabile di livello piu alto come ad esempio un direttore 
di banca, potrebbe aver accesso ad operazioni dispositive di 
livello superiore come concedere fidi ai clienti. L'utente del co- 
mune che lavora all'ufficio anagrafe potrebbe aver accesso ai 
dati personali di tutti i residenti, mentre un altro dipendente 
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dello stesso ente, ma che magari lavora alle iniziative socio- 
sportive potrebbe non aver accesso alle stesse informazioni, 
ma solo ai moduli per I'iscrizione alia palestra comunale. Persone 
diverse sono associate a ruoli diversi ed a utenti diversi in un si- 
stema informatico. Con un sistema di autenticazione, ad esem- 
pio la semplice accoppiata utente/password, I'operatore e in 
grado di accedere al sistema, che gli rendera disponibili solo le 
funzioni ed i dati di sua competenza; 
crittografia. Un altro fondamentale aspetto della sicurezza e la 
capacita di comunicare con riservatezza i dati, in modo che even- 
tuali malintenzionati che dovessero ottenere quelle informazio- 
ni non siano in grado di decodificarle. Questo problema si applica 
sia ai dati trasferiti tramite supporti tradizionali, come dischetti 
o CD-ROM, ma soprattutto alle informazioni trasmesse via rete, 
ad esempio in Internet. E piu facile difendere, nascondere od 
occultare dati che siano contenuti in posti precisi; e molto piu dif- 
ficoltoso arginare gli attacchi su una rete pubblica come Inter- 
net, dove ognuno e in grado di connettersi e provare a rubare le 
informazioni che vi circolano. La crittografia ha anche lo scopo 
di impedire le modifiche dei dati in transito, in modo che non 
arrivino dati compromessi al destinatario. Ad esempio inviando 
un documento con dati di vendita, un hacker potrebbe trarre 
vantaggio da modifiche mirate di questi dati per far credere al 
destinatario una cosa diversa dalla realta; 
impenetrabilita. La terza faccia della sicurezza informati- 
ca e la protezione dei sistemi elettronici che supportano le 
reti aziendali, i computer personali, i server dell'impresa. 
Come illustrate in precedenza, i delinquenti sfruttano spes- 
so le debolezze dei software di sistema, come i bug o gli 
errori di progettazione per cercare di inserirsi nei computer 
altrui, con lo scopo di rubare informazioni, rendere non 
operativi i sistemi oppure semplicemente giocare. Softwa- 
re come virus, worm, troiani, si insinuano nei sistemi ospi- 
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te alio scopo di distruggere, ridurre le prestazioni, pene- 
trare dove non si e autorizzati. Programmi di DoS (Denial 
of Service), password phishing, buffer overrun, sono altre 
minacce che la sicurezza informatica deve affrontare. 

La piattaforma Java affronta tutti questi aspetti della sicurezza 
fornendo API, tecnologie ed architetture in grado di sfruttare 
tutte queste tecniche. Un'applicazione ben progettata per la si- 
curezza utilizza tutti gli elementi necessari per proteggersi, ed 
adotta una architettura che non presti il fianco a questi tipi di 
attacchi. 

VERIFICARE LE IDENTITA 

II controllo delle identita e un problema essenziale nella sicurezza. 
Considerando che I'utente MARIO-ROSSI pud avere accesso ad 
una serie di informazioni e funzioni in uno specifico sistema 
informatico, come pud il software essere certo che I'operatore 
che siede davanti alia tastiera e che guarda il monitor sia pro- 
prio Mario Rossi? Oppure che I'utente associato alia matricola 
EE01283, assegnata a Giovanni Bianchi, venga utilizzata pro- 
prio da lui e non da qualcun altro? 

In poche parole, non pud. Chiunque pud spacciarsi per qualcun al- 
tro, e I'autenticazione basata su utente/password e in effetti la piu 
semplice ed insicura possibile, anche se la piu utilizzata. 
Esistono alcune punti deboli legati all'utilizzo delle password: 
originalita. Molto spesso le password inventate dagli utenti so- 
no poco originali. Molti usano il nome del gatto o dei figli, op- 
pure una data cara. Con un po' di ingegneria sociale e possi- 
bile indovinare la parola chiave; 

bassa protezione. E altrettanto diffusa una pratica poco 
sicura per mantenere le password il cui numero, con I'au- 
mentare dei sistemi informatici di cui ci serviamo, pud di- 
ventare significativo. Spesso si annotano queste parole 
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chiave su fogliettini, documenti di testo, post-it. Per il ma- 
lintenzionato accedere al fisicamente al computer ed ai lo- 
cali attigui e sufficiente anche per recuperare password ben 
congeniate; 

lunga persistenza. Spesso, quando ci si registra presso un si- 
te, si apre un account di posta o si esegue qualche altra opera- 
zione che richiede una password, si mantiene quella stessa pro- 
la chiave per mesi, anni, forse per tutta la vita dell'iscrizione. 
Anche se la parola chiave e ben congeniata, il fatto che sia sem- 
pre quella aumenta le probability che un delinquente sia in gra- 
do di intercettarla; 

spyware. Se nel computer e installato uno spyware, questo 
puo intercettare le password e comunicarle a qualche malin- 
tenzionato. Gli spyware sono programmi che si installano nel com- 
puter e, rimanendo nascosti, consentono un accesso dall'e- 
sterno. Sfruttando questo meccanismo, i delinquenti possono 
leggere informazioni sensibili, intercettare la digitazione di pas- 
sword o controllare cosa fa I'utente. 

Per risolvere le debolezze del sistema di autenticazione basato su pas- 
sword sono stati sviluppati diversi sistemi: 

token hardware. Con i token hardware e possibile generare dei 
codici di accesso utilizzati al posto delle password. Questi codici 
sono generati autonomamente da dispositivi hardware specifi- 
ci, sulla base di due approcci diversi. I token possono essere ge- 
nerati infatti sulla base del tempo od in funzione di un conta- 
tore incrementale. Questi approcci funzionano, ma pongono di- 
vesi problemi di gestione. Per prima cosa i dispositivi di gene- 
razione sono costosi e spesso vengono persi dagli utenti. Dal pun- 
to di vista logistico e poi un grosso problema sotituirli; 
token software. Per ovviare al problema del costo dei generato- 
ri di token sono stati creati i generatori software, che possono gi- 
rare su un qualsiasi computer. Per operare necessitano di un file con 
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i dati di configurazione specifici per ciascun utente, composti da 
PIN, nome utente, password. II problema pero e che questi siste- 
mi soffrono di alcune delle limitazioni che si hanno con le pas- 
sword. Se il file di configurazione viene sottratto all'utente, un 
malintenzionato e in grado di utilizzarlo per produrre dei token 
validi; 

smart card. Le smart card sono schedine delle dimensioni del- 
le carte di credito che contengono un chip in grado di contenere 
le credenziali di autenticazione richieste per I'accesso ad un 
sistema. Una sorta di chiavi digitali, che pero soffrono di un 
sensibile problema di costi. E necessario infatti utilizzare un di- 
spositivo di lettura collegato al computer in grado di interfac- 
ciarsi con la scheda. Se questo non e un grosso problema nel- 
I'ambito di un ufficio locale, le difficolta possono nascere con 
il personale viaggiante, che magari ha la necessita di connet- 
tersi dall'esterno dell'ufficio. E scomodo infatti per il viaggiatore 
portarsi dietro il lettore ed e difficile trovare un computer pub- 
blico che ne disponga. Le smart card, nonostante il costo, po- 
trebbero essere anche un'alternativa valida per i dipendenti di 
un'azienda, ma per quanta riguarda il pubblico? Ad esempio, 
un sito in cui sia necessario autenticarsi con smart card richie- 
derebbe la presenza di un lettore sui computer di ogni poten- 
ziale utente; 

certificati. I certificati di sicurezza sono sul mercato da diver- 
so tempo e possono essere utilizzati con successo in diversi 
ambiti, anche se non hanno avuto la diffusione che ci si sa- 
rebbe aspettati. Con i certificati e possibile instaurare una co- 
municazione criptata tra due parti, con I'assicurazione dell' i n- 
dentita dei due interlocutori. Ma i certificati soffrono dello stes- 
so problema delle password: possono essere rubati e riutilizzati. 
Inoltre i costi di acquisizione e gestione non sono da ignorare; 
dati biomedici. Potrebbe sembrare che I'utilizzo di dati bio- 
medici sia I'ultima frontiera in merito di sicurezza. In realta c'e 
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un problema fondamentale: I'impossibilita di creare una nuova 
chiave segreta. Per dati biomedici si possono intendere le im- 
pronte digitali, oppure I'immagine della cornea. Se qualcuno ru- 
ba I'impronta, e in grado di sostituirsi all'orginale e questi non 
puo farsi cambiare le impronte digitali o gli occhi. Chi ricorda il 
film "Entrapment" con Sean Connery e Catherine Zeta-Jones? 
Veniva rubata I'immagine della cornea del presidente di una 
banca con uffici a Kuala Lumpur, poi utilizzata per penetrare nel 
palazzo e compiere un furto di considerevoli dimensioni. Quan- 
do il film termina, gli autori non spiegano come fa il presidente 
a ripristinare la sicurezza. Questi ha infatti poche alternative: o 
si dimette, per lasciare il posto a qualcun altro, quindi con cor- 
nea diversa, oppure cambia sistema di sicurezza. 

II problema dell'autenticazione e quindi ancora aperto, e nessuna solu- 
zione puo ritenersi definitiva. Per la sua economicita, possibility di crea- 
re nuove chiavi segrete e facilita di gestione, I'autenticazione tramite 
utente/password e ancora un'alternativa di interessante opportunity. 

NASCONDERE LE INFORMAZIONI 

Come accennato in precedenza, una tecnica fondamentale nella si- 
curezza informatica e la crittatura dei dati. La crittografia e tradizio- 
nalmente lo studio della conversione delle informazioni dalla sua 
forma normale e semplice ad un formato incomprensibile, che lo ren- 
de illeggibile senza una conoscenza segreta, quella della crittatura. 
Nel passato la crittografia aiuto a mantenere la segretezza di im- 
portant comunicazioni, come quelle diplomatiche, di spionaggio o mi- 
litari. Anche Leonardo da Vinci utilizzo spesso una forma di crittatu- 
ra per nascondere i propri segreti. Oggigiorno la crittatura e utilizzata 
anche dai civili, ed e diventata una cosa molto ordinaria. Ad esem- 
pio quando ci si connette via Internet ad un sito di acquisti online, si 
attiva normalmente una connessione protetta. Questa connessione 
e crittata: tutte le informazioni che viaggiano dal nostra computer al 
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server saranno crittate, indecifrabili per I'osservatore esterno. 
I sistemi di crittatura moderni sono molto sicuri. Per "rompere" la pro- 
tezione e leggere i dati anche senza la chiave giusta sarebbero ne- 
cessari computer di diverse grandezze piu potenti di quelli attuali. 
Oppure occorrerebbero migliaia di anni per eseguire i necessari cal- 
coli, tempi che owiamente non possono essere presi nemmeno in Ion- 
tana considerazione. . 

E ovvio che con I'aumentare della potenza dei computer prodotti 
dall'uomo e necessario aumentare il livello di sicurezza della crittatura, 
in modo da garantire I'impenetrabilita anche al crescere della ca- 
pacita di calcolo dell'elaboratore. 

Maggiori informazioni sulla crittatura verranno presentati piu avan- 
ti nel testo, unitamente alle API della piattaforma Java sviluppate 
per il suo supporto. 
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LA SICUREZZA NELLA PIATTAFORMA 
JAVA 

Java, inteso sia come linguaggio che come piattaforma, e considerate si- 
curo. Questa idea diffusa nasce dal fatto che la sicurezza e un elemento 
che e state fuso nella tecnologia di SUN Microsystems fin dalla sua nascita. 
Non e il risultato di ripensamenti successivi, aggiunte mal congeniate od 
ineleganti estensioni. E piuttosto un elemento proprio dei piu reconditi 
meccanismi interni di funzionamento della piattaforma. 

SICURO DALLE BASI 

II linguaggio Java implementa la sicurezza in diversi aspetti, il primo dei 
quali nella struttura stessa del linguaggio. In particolare: 

type-safe. Come noto, il linguaggio Java e fortemente tipizzato. 
Questo vuol dire che non e possibile assegnare un oggetto di un ti- 
po ad una variabile di un altro tipo. Ma perche si dovrebbe fare una 
cosa simile? Uno degli obiettivi potrebbe essere quello di accedere 
ad informazioni presenti in un oggetto in modoforzato.Ad esempio, 
un oggetto che contiene dati su carte di credito, ma che non ha me- 
todi di accesso a questi dati, non pud essere utilizzato per estrapo- 
larne informazioni sensibili. Se fosse possibile gestire la memoria in 
modo meno tipizzato, come permette il linguaggio C, sarebbe pos- 
sibile accedere arbitrariamente a porzioni di dati dell'oggetto, per 
estrarre quanta di interesse; 

automatic memory management. Come gia detto, molti proble- 
mi possono nascere dal modo in cui viene gestita la sicurezza. Attacchi 
come buffer overrun o heap overflow sono possibili se la memoria 
non viene opportunamente controllata e gestita. Java dispone del- 
la gestione automatica della memoria, quindi ogni allocazione e ri- 
lascio e gestita dalla Virtual Machine. II programmatore non puo 
dunque, anche volendo, inserire degli errori di programmazione che 
blocchino il sistema o che permettano attacchi basati sulla memo- 
ria come quelli citati; 
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controllo degli intervalli. Nel linguaggio Java non e possibile ac- 
cedere ad elementi invalidi di vettori, o leggere una stringa oltre il 
suo limite. Potrebbe sembrare owio, ma in linguaggi come il C o 
C++ questo e possibile. In C le stringhe sono implementate come 
vettori di char con lunghezza fissa e la fine della stringa viene iden- 
tificata dalla presenza di un valore NULL (zero). I vettori e le stringhe 
in C sono dunque mappati direttamente sulla memoria e non ci so- 
no controlli sui limiti. Questo significa che di un vettore di 1 0 carat- 
teri pub essere letto anche I'elemento 1 1, 12, 13 e cosl via. Owia- 
mente in quel caso non si stara piu leggendo il vettore, ma la me- 
moria dati successiva a quella che contiene il vettore in oggetto. 
Questo comporta problemi di sicurezza, perche parti di codice ma- 
ligno possono leggere dati che non gli competono, incluse infor- 
mazioni sensibili. 

SICURO PER PROGETTAZIONE 

L'architettura stessa del linguaggio e pensata per un grande livello di si- 
curezza, la cui implementazione e possibile grazie alia presenza del bytecode. 
Come e noto, i programmi Java, per poter essere eseguiti devono essere 
compilati. In questa fase il codice sorgente viene tradotto in un linguag- 
gio binario chiamato bytecode. E molto simile al codice oggetto prodot- 
to dai normali compilatori, come quelli del linguaggio C, ma con una so- 
stanziale differenza. Se il codice oggetto contiene le istruzioni in lin- 
guaggio macchina necessarie ad espletare le funzioni ad alto livello scrit- 
te nel codice sorgente, il bytecode contiene istruzioni di un processore 
immaginario. Le istruzioni del bytecode infatti non possono essere eseguite 
su alcun processore presente nei computer in commercio. I linguaggi pre- 
senti nei Pentium, Celeron, K7, G5 e cosl via, sono diversi. Implementa- 
no il solito set di istruzioni, con le relative estensioni, delle piattaforme x86 
e PowerPC. 

II bytecode e quindi un linguaggio macchina intermedio, che deve esse- 
re ulteriormente tradotto in codice assembler da una componente fondamentale 
della piattaforma: la Java Virtual Machine. Ed e proprio la presenza del by- 
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tecode e del la JVM a rendere possibile diverse funzionalita importanti 
della piattaforma Java, inclusa la gestione della sicurezza. 
Con questo stretto controllo sul bytecode, la piattaforma Java e in grado 
di verificare il codice che gli e stato richiesto di eseguire, in modo da: 

1 - assicurare che il programma in esecuzione non contenga un codi- 

ce non valido, composto da istruzioni maligne che hanno lo scopo 
di bloccare il funzionamento del computer o di ottenerne un acces- 
so incondizionato; 

2 - permettere che il codice giri aH'interno delle politiche di sicurezza 

corrette, vietando o concedendo I'accesso a questa o quella fun- 
zionalita della piattaforma in funzione del livello di sicurezza concesso 
al codice in esecuzione. 

La presenza del bytecode e sostanzialmente un ulteriore livello diindire- 
zione, che ha permesso ai progettisti della piattaforma di inserire i ne- 
cessari strumenti di controllo. 

I due elementi principali che sovraintendono a questi controlli sono il class 

loader ed il verificatore di bytecode: 

class loader. Questo elemento della piattaforma si occupa di cari- 
care in memoria le classi Java contenute nell'applicazione. Le appli- 
cazioni Java sono molto dinamiche: i singoli elementi necessari al 
funzionamento del programma vengono caricati dal disco (o dalla 
rete) solo quando e necessario. II caricamento pud avvenire anche 
da file JAR, che non sono altro che file in formato ZIP. All'atto del 
caricamento viene eseguita la decompressione del file ed estratta 
la classe di interesse; 

verificatore di bytecode. Questo componente della Virtual Ma- 
chine si occupa di certificare che una classe, caricata in memoria dal 
class loader, abbia la struttura corretta. Per fare questo il verificato- 
re esegue una serie di controlli incrociati sul bytecode, alia ricerca del 
codice artefatto, studiato cioe per eseguire operazioni non valide, o 
palesemente prodotto con strumenti diversi dal compilatore uffi- 
ciale. Ad esempio, viene controllato che non si verifichino overflow 
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0 underflow di stack, che tutti gli accessi ai registri siano validi, che 

1 parametri a tutti i bytecode siano validi, che non ci siano conver- 
sion di dati illegali. 

CLASS LOADER 

La sicurezza nel linguaggio Java era presente fin dalla versione 1 .0, ma 
con I'evolversi della piattaforma questo aspetto e stato ulteriormente 
implementato ed esteso, con il risultato che alcuni elementi ora sono piu 
ricchi. Un esempio e il class loader, la cui classe principale, 
j ava . lang . classLoader e ora accompagnato dalla nuova j a- 
va . security . SecurityClassLoader. 
II class loader utilizza la tecnica del lazy loading, o caricamento differito, 
che comporta diverse conseguenze: 

le classi sono caricate su richiesta, solo aH'ultimo momento possi- 
ble. In questo modo si risparmia memoria, tempo di elaborazione 
e banda di connessione. Se una classe presente nei JAR dell'appli- 
cazione non viene invocata a runtime, questa non sara mai carica- 
ta in memoria; 

il caricamento dinamico permette di consolidare la tipizzazione del 
linguaggio Java aggiungendo dei controlli al momento del linking, 
che sostituiscono certi controlli in fase di esecuzione e che vengo- 
no eseguiti una volta sola; 

lo sviluppatore puo specificare i propri class loader personalizzati, 
in modo da controllare la fase di caricamento delle classi, imple- 
mentare nuovi protocolli oppure assegnare attributi di sicurezza 
opportuni alle classi caricate; 

la presenza di molteplici class loader consente inoltre di separare I'o- 
rigine ed il livello di sicurezza di gruppi di classi. Ad esempio, un ap- 
plication server potrebbe caricare le classi che lo implementano da 
un class loader, ed utilizzarne un altro per caricare quelle relative al- 
le applicazioni J2EE in esso installate. 
Ma se le classi vengono caricate dal class loader, chi carica le classi che 
implementano il class loader? In altre parole, se il class loader e esso 
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stesso una classe, chi la carica in memoria? La risposta risiede nella pre- 
senza del class loader "primordiale". La piattaforma Java definisce infat- 
ti un class loader scritto con codice nativo, non visibile dal contesto Java, 
che solitamente carica le classi dal file system in modo dipendente dalla 
piattaforma. Alcune classi sono fondamentali per il funzionamento della 
Java Virtual Machine, ad esempio quelle definite nel package j ava . * . 
Queste classi vengono caricate dal class loader primordiale. Infatti, il lo- 
ro class loader e null. Per verificare il class loader di una classe e pos- 
sible utilizzare il metodogetclassLoader () . Quindi per conosce- 
re il class loader di un oggetto di tipo string si pud scrivere: 

package net.ioprogrammo.javasecurity.cap2; 
public class ClassLoaderTest { 

public static void main( String!] args ) { 

String s = new StringC'test"); 

System.out.println( s.getClass().getClassLoader() ); 

} 

} 

in questo semplice programma viene creato un oggetto stringa, da cui 
viene ottenuta la classe e poi il class loader. Una volta eseguito stampa a 
console null. 

II programma precedente e equivalente al seguente: 

package net.ioprogrammo.javasecurity.cap2; 
public class ClassLoaderTestl { 

public static void main( String!] args ) { 

System.out.println( String. class.getClassLoaderQ ); 




in questa variante I'oggetto di tipo class relativo alia classe stringa 
viene ottenuto interrogando direttamente il campo class della classe 
string. Anche in questo caso viene stampato null. 
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Per caricare una classe il class loader utilizza un preciso algoritmo. A par- 
tire da Java2, le classi vengono cercate nel seguente ordine: 

1 - viene verificato che la classe non sia gia in memoria; 

2 - se il class loader corrente ha un delegate, il controllo viene passato 

a quest'ultimo; 

3 - se il class loader corrente non ha un delegate, il controllo viene pas- 

sato al class loader primordiale; 

4 - viene chiamato un metodo personalizzabile per trovare la classe al- 

trove. 

II meccanismo di delega e un sistema per concatenare diversi class loader 
in modo gerarchico. II class loader di sistema e quello principale, a cui so- 
no collegati in cascata tutti gli eventuali class loader figli. Se una classe non 
viene trovata, viene sollevata una eccezione di tipo ciassNotFoun- 
dException. 

ARCHITETTURA DELLA SICUREZZA 

II modello di sicurezza originale della piattaforma Java era semplice ed 
immediate: le applicazioni potevano fare tutto, le Applet quasi niente. E 
quindi un modello semplice ma limitato, che e state esteso prima con il JDK1 .1, 
e poi in Java2, per rendere piu flessibile la gestione della sicurezza. I tre 
modelli di sicurezza sono: 

JDK1 .0. II modello presente nella prima versione della piattaforma 
Java, note anche come sandbox, era state studiato per fornire un 
ambiente molto ristretto entro cui eseguire codice scaricato dalla 
rete. La filosofia di base in questo caso e che il codice presente sul- 
la macchina locale e considerate sicuro, in quanta e software pre- 
sumibilmente caricato dall'utente. Le Applet scaricate dalla rete, in- 
vece, sono considerate non sicure. Un ignaro navigatore che capiti 
per caso su un site dove e presente un'Applet maligna non puo ri- 
schiare che questa venga installata sul sistema ed eseguita senza con- 
trolli. Tra le limitazioni imposte dalla sandbox alle Applet si trova 
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I'impossibilita di accedere ai processi, alle connessioni di rete se non 
con I'host di provenienza e I'inabilita di leggere dal file system locale; 
JDK1 .1 . Nella versione 1 . 1 il modello a sandbox e stato esteso per 
includere il supporto alle Applet "firmate", che potevano godere di 
piu diritti, ed accedere a risorse normalmente vietate. Owiamente, 
le Applet non firmate continuavano a sottostare ai limiti della sand- 
box visti al punto precedente. Le Applet venivano firmate con certi- 
ficati digitali e memorizzate all'intemo di un file JAR, insieme alle 
firmedigitali; 

Java2. A partire dalla versione 2 della piattaforma il modello di si- 
curezza e stato ulteriormente raffinato. Sempre mantenendo le fun- 
zionalita implementate nelle precedenti versioni del linguaggio, I'ar- 
chitettura e stata resa piu facile da usare ed estensibile, come vedremo 
piu dettagliatamente nel paragrafo seguente. 

Le caratteristiche principali dell'architettura della sicurezza della piat- 
taforma Java2 si possono riassumere nei seguenti punti: 

controllo di accesso a grana fine. Una funzione gia presente, ma 
che richiedeva un certo sforzo di programmazione, era il controllo di 
accesso a grana fine. Con Java2 gli accessi divengono dichiarativi, e 
risultano dunque molto piu facili da implementare; 
configurability politiche di accesso. Un'altra miglioria ha ri- 
guardato le politiche di accesso, che ora divengono facilmente con- 
figurabili. Anche queste funzionalita erano accessibili nelle prece- 
denti versioni del linguaggio, anche se richiedevano un certo tempo 
di programmazione; 

controllo di accesso estensibile. Fino al JDK1.1, per creare un 
nuovo permesso di accesso, era necessario creare un nuovo meto- 
do check ( ) nella classe SecurityManager. Con la nuova 
architettura e possibile definire nuovi tipi di accesso creando speci- 
fiche classi, e I'infrastruttura e in grado di supportarli in modo automatico. 
Non e dunque piu necessario creare metodi specifici; 
estensione dei controlli di sicurezza. La filosofia, secondo la 
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quale tutto il codice locale e considerato fidato, viene abbandona- 
ta con Java2. 1 controlli di sicurezza vengono dunque adottati sia 
in applicazioni indipendenti che in Applet. Si noti inoltre che, con lo 
sviluppo del la piattaforma Java, si aggiungono altre tipologie di 
componenti, come Javabeans, Servlet ed Enterprise Javabeans. Tut- 
te le tipologie rientrano quindi nei controlli di sicurezza della piat- 
taforma. 



Le modifiche evolutive nell'architettura di sicurezza della piattaforma so- 
no state studiate in modo da essere compatibili con il pregresso. Per ot- 
tenere gli stretti requisiti di sicurezza delle Applet ed i rilassati livelli invece 
utilizzati per le applicazioni indipendenti, vengono utilizzati file di politi- 
che di sicurezza configurati in modo diverse 

GESTIONE DEI PERMESSI 

Ogni qual volta il codice deve accedere ad un elemento sensibile, e pos- 
sible controllare di avere accesso a questo specifico elemento. Per fare que- 
sto si deve creare un oggetto Permission specifico al tipo ed alia 
particolare risorse a cui si intende accedere. L'oggetto create verra poi 
controllato con opportune chiamate. Ad esempio, se si intende eseguire 
una lettura del profilo relativo all'utente max su un sistema Mac OS X si 
potrebbe definire il permesso seguente: 

Permission profilePermission = 

new java.io.FilePermission("/Users/max/.profile", "read"); 

immediatamente prima di eseguire I'accesso al file, il programma deve as- 
sicurarsi che il contesto di sicurezza entro cui il codice e in esecuzione lo 
consenta, con la chiamata al metodo checkPermission ( ) della 
classe AccessController: 

AccessController.checkPermission(profilePermission); se I'accesso e 
garantito il metodo checkPermission() termina normalmente, in ca- 
so negativo viene sol levata una eccezione di tipo 
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java.lang. Security Exception. 



Nella piattaforma Java sono definite molte tipologie diverse di permessi, 
che sono riassunte in tabella 1 . 



classe descrizione 


AHPermission 


implica tutte gli altri permessi 


AudioPermission 


rappresenta il diritto di accedere alle risorse audio del sistema 
classe utilizzata per i permessi di autenticazione 


AuthPermission 


definisce il permesso di accedere agli elementi dell'interfaccia 
utente 


AWTPermission 


classe base da cui creare i permessi personalizzati 


BasicPermission 


utilizzata in congiunzione all'autenticazione Kerberos 


DelegationPermission 


rappresenta un accesso ad un fie o directory 


FilePermission 


rappresenta il diritto di accedere al sistema di logging 
raffigura il diritto di accedere alle funzionalita di gestione 


LoggingPermission 


della Virtual Machine 


ManagementPermission 


permesso di accesso alle operazioni di un MBeanServer 
permessi di accesso ad oggetti MBeanServers 


MBeanPermission 


rappresenta permessi di fiducia per MBeanServers 


M BeanServerPermission 


utilizzata per svariati permessi legati agli accessi alia rete 


MBeanTrustPermission 


superclasse astratta di tutti i permessi 


NetPermission 


protegge I'accesso a credenziali private che appartengono ad 


Permission 


uno specifico soggetto 


PrivateCredentialPermission 


definisce il permesso di accesso alle proprieta di sistema 


PropertyPermission 


modella il permesso di accedere alia reflection 


Reflect Permission 


permessi di accesso ad elementi di runtime, come il 


RuntimePermission 


caricamento di librerie native o I'accesso a security manager 
superclasse di tutti i permessi legati alia sicurezza 


SecurityPermission 


definisce la possibility di serializzare/deserializzare gli oggetti 


SerializablePermission 


protegge servizi e credenziali Kerberos 


ServicePermission 


rappresenta I'accesso alia rete attraverso i socket 


SocketPermission 


controlla il permesso di eseguire il log di istruzioni SQL 


SQLPermission 


(utilizzata di default nelle Applet) 

utilizzata per svariati permessi legati agli accessi alia rete con 


SSLPermission 


connessione protetta SSL 

permessi legati alia delega delle credenziali di autorizzazione 


SubjectDelegation Permission 


definisce permessi "non risolti" quando la politica viene 


Unresolved Permission 


inizializzata 
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Nota: II controllo dell'accesso non e un elemento indispensabile: si pud 
sviluppare la propria applicazione ignorando il fatto che in determinati con- 
test] di sicurezza alcune funzioni potrebbero essere disabilitate. Ad esem- 
pio, un application server potrebbe limitare le possibilita di accesso al si- 
stema di runtime, oppure un dispositivo integrate senza display potreb- 
be sollevare degli errori se si cerca di accedere alle API grafiche. Nel ca- 
so si ritenga che I'applicazione che si sta sviluppando potrebbe essere 
eseguita in contesti particolari come questi, e possibile sfruttare le API 
dei permessi per controllare ciascun accesso sensibile. Questo consente 
di verificare, prima del I'effettiva chiamata ad una funzionalita, che que- 
sta sia effettivamente disponibile, e quindi di agire di conseguenza. 

Per questioni di legacy, questo controllo e effettuabile anche attraverso la 
classe java.lang.SecurityManager, che implementa una serie di controlli 
di abilitazione che possono essere utilizzati per implementare una poli- 
tica di sicurezza aH'intemo dell'applicazione. Ciascun specifico controllo 
e realizzato da un singolo metodo, come ad esempio: 

public void checkAccess(Thread t); 
public void checkDelete(String file); 
public void checkRead(String file); 

ovviamente, oltre a questi metodi, e presente anche il metodo check- 
Permission (Permission) , che non fa altro che delegare la chia- 
mata ad AccessController. 

Un esempio e presente nel listato successivo. Questo semplice program- 
ma, prima di accedere alia proprieta di sistema java. version si assicura 
di avere i permessi adeguati, utilizzando un oggetto di tipo Pro- 
perty Permission: 

import java. security.AccessController; 
import java. util.PropertyPermission; 
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public class PermissionTest { 

public static void main(String[] args) { 

PropertyPermission javaHomePermission = 

new PropertyPermissionC'java.version", "read"); 
AccessController.checkPermission( javaHomePermission ); 
System.out.println( System.getPropertyC'java.version")); 

} 



I'esecuzione di questo programma in condizioni normali produce in out- 
put la versione di Java, per esempio 1.4.2_05. II permesso e garantito per- 
che il codice e in esecuzione come applicazione indipendente, che non e 
soggetta a restrizioni. 

Se si modifica il profilo di sicurezza e si tolgono tutti i diritti, ad esempio 
utilizzando un file di politiche vuoto, si ottiene una eccezione. 
Per eseguire il programma utilizzando una politica completamente re- 
strittiva e necessario lanciare la virtual machine impostando le due pro- 
priety di sistema: j ava . security .manager e j ava . secu- 
rity, policy. II secondo parametro deve specificare un URLchepun- 
ti ad un file di politiche (la struttura di questo file verra discussa nel pa- 
ragrafo successivo). 
II comando da lanciare e il seguente: 



java -Djava.security.manager -Djava.security.policy==file:/Users/max/.ja 
va.policy _L 




I'output prodotto e il seguente: 



Exception in thread "main" java.security.AccessControlException: 
access 

denied (java. util. PropertyPermission java.version read) at 
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Context.java:269) at 

java.security.AccessController.checkPermission(AccessController.java:40 
1) at 

net.iopragrammo.javasecurity.cap2.PermissionTest.main(Permission 
Test.java:20) 

il contenuto del file .java. policy e il seguente: 
grant { 

}; 

Attenzione! Per fare in modo che il nuovo file di politiche sostituisca il 
precedente e necessario specificare un doppio uguale (==), come nel- 
I'opzione java . security .policy==f ile : /Users/max/ .ja- 
va . policy, se si utilizza un singolo uguale le politiche presenti nel fi- 
le vengono aggiunte a quelle gia esistenti. In questo caso, visto che le 
applicazioni indipendenti hanno gia tutti i diritti, indicare la lettura di un 
qualsiasi altro file di politiche non aggiungera niente che non sia gia pre- 
sente. Si noti infatti che un file di politiche contiene solo permessi, e non 
divieti. 

ARCHITETTURA DEI PERMESSI 

Per capire meglio come sono strutturati i permessi nella piattaforma Ja- 
va2, si osservi il diagramma presente in figura 1 . Sono rappresentate le clas- 
si principali coinvolte nella gestione dei permessi che non siano specifici 
ad una dato contesto funzionale, come I'accesso alia rete od alle pro- 
prieta di sistema 

Le classi illustrate in figura 1 hanno il seguente utilizzo: 

Permission. Superclasse astratta che definisce un qualsiasi per- 
messo; tutti i permessi completi derivano da questa classe. Definisce 
il metodo implies (Permission) che indica se questo per- 
messo ne implica altri; un esempio verra illustrate nella discussione 
del la classe FilePermission, presente nel paragrafo 
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successivo; 

AllPermission. Definisce un permesso che garantisce un ac- 
cesso complete a tutti gli elementi del sistema; 
BasicPermission. Definisce una classe base che puo essere 
estesa da altri permessi e che implementa il supporto ad una speci- 
fica convenzione di nomi. I nomi sono relativi agli obiettivi, che pos- 
sono assumere nomi gerarchici, come "print.queueJob". Nello spe- 
cificare i nomi sono supportati i caratteri jolly, tanto che e possibile 
specificare espressioni come "*", oppure "java.*". non e possibile 
utilizzare i caratteri jolly all'interno dei nomi, quindi espressioni co- 
me "*java", "ja*va" o "java*" non sono validi. BasicPermis- 
sion e utilizzata come superclasse da permessi come Audio- 
Permission, , AuthPermission, AWTPermission, De- 
legationPermission, LoggingPermission, Mana- 
gementPermission, MBeanServerPermission, MBean- 
TrustPermission, NetPermission, PropertyPer- 
mission, Ref lectPermission, RuntimePermission, 
SecurityPermission, SerializablePermission, 
SQLPermission, SSLPermission, Subj ectDelega- 
tionPermission; 

OnresolvedPermission. Definisce un permesso non identi- 
ficato quando e stata impostata la politica dei permessi in uso. La po- 
litica dei permessi per una istanza della Java Virtual Machine e rap- 
presentata da un oggetto Policy. Ogni qual volta una politica 
viene inizializzata o rinfrescata, vengono creati una serie di oggetti 
Permission che rappresentano tutti i permessi consentiti dalla 
politica. Gli oggetti unresolvedPermission definiscono quei 
permessi specificati nel file di politica per cui non e state possibile tro- 
vare alcuna classe di implementazione; 
PermissionCollection. Implementa un insieme di per- 
messi. Dispone di metodi che rendono possibile aggiungere per- 
messi, verificare se un date permesso e gia implicate nei permessi con- 
tenuti nella collezione, enumerare tutti i permessi. Oggetti di questo 
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tipo vengono ottenuti chiamando il metodo newPermission- 
Collection ( ) SU una sottoclasse di Permission (I'imple- 
mentazione di default presente in questa classe semplicemente ri- 
torna null). In una PermissionCollection e possibile rag- 
gruppare una serie di permessi dello stesso tipo; 
Permissions. Implementa un insieme eterogeneo di permes- 
si. E una sottoclasse di PermissionCollection, ma ha la dif- 
ferenza di poter contenere un insieme di permessi di tipo diverso. 

TIPI DI PERMESSI SUPPORTATI 

In tabella 1 sono stati riassunti tutti i permessi supportati da Java 5.0 ed 




Permission Collection 



AHPermission 



UnresolvedPer mission 



BasicPermission 



Figura 1 - gerarchia delle principali classi a supporto dei permessi 



utilizzati all'interno delle API di sistema. E bene notare come la natura ete- 
rogenea dei permessi sia impossible da modellare ad oggetti utilizzan- 
do classi ed interfacce in modo puntuale. In altre parole, non e possibile 
definire una interfaccia standard ed alio stesso tempo dettagliata per 
tutti i permessi, perche ciascuno di questi considera un insieme di infor- 
mazioni diverso. Ad esempio, i permessi sui file devono gestire nomi, per- 
corsi e modalita di accesso (lettura/scrittura); permessi sulle proprieta ri- 
chiedono solo una chiave; permessi sulle connessioni di rete hanno a 
che fare con nomi di host, indirizzi ip, porte e modalita di accesso. Per 
supportare tutte queste possibility anche in considerazione del fatto che 
i permessi sono configurati tramite file di testo, la soluzione proposta da 
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SUN e alquanto semplice. Le singole proprieta di ciascun permesso so- 
no modellate come stringhe, aH'interno delle quali ciascun elemento e iden- 
tificato da una costante. In questo modo, a livello Java non esiste una 
rappresentazione puntuale di tutto quello che uno specifico permesso 
supporta, ma un approccio maggiormente dinamico. 

Le singole proprieta dei permessi sono dette target, od obiettivi. Nei 
prossimi paragrafi verra utilizzato principalmente questo secondo 
termine. Quando si parlera di "obiettivi", dunque si intenderanno le 
singole abilitazioni possibili per una specifica classe di permessi. 

Nei sottoparagrafi successivi saranno discussi in dettaglio i principali per- 
messi di sistema, dedicando piu attenzione ai principali permessi relati- 
vi alia sicurezza. 

AUDIOPERMISSION 

Si consideri il permesso che identifica la possibilita di accedere a risorse 

del sistema legate all'audio, come le schede di riproduzione o di sintesi 

sonora. Questo permesso e tra i piu semplici, in quanta contiene un no- 

me di obiettivo ma nessuna lista di azioni. 

Gli obiettivi supportati sono i seguenti: 

play. Indica la possibilita di riprodurre suoni nei dispositivi del si- 
stema, ottenendo oggetti che rappresentano linee e mixer; 
record. Rappresenta la possibilita di registrare audio attraverso i 
dispositivi di sistema; 

per rappresentare il permesso di registrare e necessario creare un og- 

getto AudioPermission come segue: 

Permission possoRegistrare = new AudioPermission("record"); 

si noti che non sono presenti costanti nella classe che rappresentano i va- 
lori "play" e "record". L'approccio e quindi molto dinamico. 
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FILEPERMISSION 

L'accesso ai file ed alle directory e invece mediate dal permesso File- 
Permission, il cui costruttore si aspetta due parametri. II primo e il per- 
corso del file o della directory, mentre il secondo e un insieme di azioni. 
Le azioni possono essere: 

read. Permesso di lettura; 

write. Permesso di scrittura; 

execute. Permesso di esecuzione. Permette di chiamare Runti- 
me . exec ( ) ; 

delete. Permesso di cancellazione. Consente di chiamare Fi- 
le . delete ( ) ; 
per concatenare pia azioni e possibile creare un elenco separate da vir- 
gole. II percorso del file supporta una serie di possibilita: 

file; 

directory; 
directory/file; 

directory/* (tutti i file in questa directory); 
* (tutti i file nella directory corrente); 

directory/- 

(tutti i file nel file system sotto questa directory); 

(tutti i file nel file system sotto la directory cor- 
rente); 

«ALL FILES» (tutti i file del sistema). 



L'ultima opzione e una stringa costante che identifica tutti i file accessi- 
bili dal sistema. Su Unix si intendono tutti i file accessibili da root, men- 
tre su Windows tutti i file accessibili su tutti i drive. Owiamente questa op- 
zione e molto pericolosa perche si garantisce l'accesso del programma a 
tutti i file, applicativi e non, di tutti gli utenti, inclusi file potenzialmente 
pericolosi come il registry di Windows od il file passwd di Unix. Questo per- 
messo dovrebbe essere concesso alle applicazioni con molta attenzio- 
ne. Alcuni esempi di permessi sui file sono: 
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FilePermission p = new FilePermissionffile.txt", "read, write"); 



FilePermission p 


= new FilePermission(7Users/max/", "read"); 


FilePermission p 


= new FilePermission("~/mytmp", "read,delete"); 


FilePermission p 


= new FilePermission("/bin/*", "execute"); 


FilePermission p 


= new FilePermissionf*", "read"); 


FilePermission p 


= new FilePermission("/-", "read.execute"); 


FilePermission p 


= new FilePermission("-", "read.execute"); 





rispettivamente, questi permessi indicano: 

- la possibility di leggere e scrivere file.txt nella directory 
corrente; 

- la possibility di leggere dalla home directory deH'utente 
maxsu Mac OS X; 

- la possibility di leggere e cancellare il file mytemp nella 
home dell'utente; 

- la possibility di eseguire tutti i file presenti sotto /bin; 

- la possibility di leggere qualsiasi file nella directory 
corrente; 

- la possibility di leggere ed eseguire tutto il file system; 

- la possibility di leggere ed eseguire tutto il file system 
a partire dalla directory corrente; 

- la possibility di leggere tutti i file del sistema. 

Si noti che alcuni permessi sono ininfluenti se gia ne sono attivi altri. Ad 
esempio, i due permessi seguenti si sovrappongono: 

FilePermission p = new FilePermissionCfile.txt", "read.write"); 
FilePermission p = new FilePermissionf-/", "read.write"); 

il primo concede accesso a file.txt, mentre il secondo a tutta la directory 
dell'utente corrente. Se file.txt e presente proprio in questa directory, il pri- 
mo permesso e inutile. La classe FilePermission implementa il 
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metodo implies ( Permission) , che permette di capire su un per- 
messo ne implica un altro. Nel fare questo, la struttura del file system 
viene correttamente interpretata, con la risoluzione di eventuali colle- 
gamenti simbolici. 

Si noti che il codice possiede sempre, in modo automatico, il per- 
messo di leggere file dalla sua origine e dalle sottodirectory di que- 
sta. Non e dunque necessario ottenere un permesso esplicito su 
questo. Se ad esempio la classe del programma in esecuzione e po- 
sizionata sotto ~/tools/myapp/classes/net/ioprogrammo/cap02/, la 
stessa pud accedere ai file sotto questa directory, ed alle relative 
sottodirectory. 

NETPERMISSION 

Piu complessi i permessi legati alia rete, e rappresentati dalla classe Net- 
Permission. Anche in questo caso e presente solo il nome dell'o- 
biettivo ma non e presente una lista di azioni; gli obiettivi sono pero nu- 
merosi. Nell'elenco seguente vengono riportati gli obiettivi supportati, 
con il relativo significato, cioe la funzionalita che il permesso sblocca. 
Inoltre vengono indicati i rischi che si possono correre se in un profilo di 
sicurezza vengono concessi questi permessi: 

setDefaultAuthenticator. Rappresenta I'abilita di impostare il 
modo in cui le informazioni di autenticazione sono ottenute quan- 
do un proxy od un http server richiede I'autenticazione. Questa fun- 
zionalita nasconde il rischio che codici maligni installino monitor o 
sniffer al fine di sottrarre i dati di autenticazione dall'utente; 
requestPasswordAuthentication. Rappresenta I'abilita di ri- 
chiede all'autenticatore installato la password; anche questa fun- 
zionalita pud essere sfruttata da codici maligni per rubare i dati di 
autenticazione; 

specifyStreamHandler. Rappresenta I'abilita di specificare un 
gestore di flusso quando si costruisce un URL. II rischio, nel conce- 
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dere questo permesso, e che codice maligno install! un proprio ge- 
store di flusso per ottenere dati da sorgenti da cui normalmente non 
avrebbe accesso. 

setProxySelector. Rappresenta la possibility di impostare il se- 
lettore di proxy, utilizzato per decidere a quale proxy indirizzare la ri- 
chiesta. Un codice maligno potrebbe sfruttare questo permesso per 
installare un selettore che redirige tutto il traffico ad un host speci- 
fico; 

getProxySelector. Rappresenta I'abilita opposta alia preceden- 
ts, e cioe quella di conoscere il selettore di proxy in uso. II rischio po- 
trebbe essere quello, da parte di codice maligno, di ottenere nomi ed 
indirizzi di host da sottoporre ad attacco, magari per I'invio di un 
worm; 

setCookieHandler. Rappresenta la possibility di installare nel si- 
stema un gestore di cookie, elementi spesso utilizzati per contene- 
re dati sensibili, quali i dati di autenticazione presso sitiWeb. II rischio, 
concedendo questo permesso, e quello di rendere accessibile a co- 
dice maligno i dati dei cookie dell'utente, che potrebbero includere 
dati sensibili; 

getCookieHandler. Rappresenta I'abilita opposta alia preceden- 
ts, con i medesimi rischi; 

setResponseCache. Rappresenta la possibility di impostare la ca- 
che locale delle risposte di rete. II rischio e che codice maligno pos- 
sa accedere a dati sensibili interrogando la cache, oppure crei dei 
dati falsi nella cache; 

getResponseCache. Rappresenta I'abilita opposta alia prece- 
dents, con i medesimi rischi. 

Ad esempio, per verificare la possibility di impostare I'oggetto di auten- 
ticazione e possibile scrivere: 

Permission p = new NetPermission("setDefaultAuthenticator"); 
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RUNTIMEPERMISSION 

II permesso di runtime consente di verificare la possibility di accedere a di- 
versi elementi legati al funzionamento del sistema e della Virtual Machi- 
ne. Anche in questo caso sono presenti obiettivi e non azioni, che sono: 

createClassLoader. Possibility di creare un class loader; 

getClassLoader. Possibility di acceedere al class loader; 

setContextClassLoader. Possibility di impostare il contesto del 

class loader; 

enableContextClassLoaderOverride. Possibility, da parte di Th- 
read applicativi, di accedere al class loader di contesto; 
setSecurityManager. Possibility di impostare il Security Mana- 
ger; 

createSecurityManager. Possibility di creare un Security Mana- 
ger; 

getenv.{nome variabile}. Possibility di accedere ad una variab- 
le di ambiente. II nome della variabile viene specificate tra le paren- 
tesi graffe; 

exitVM. Possibility di uscire dalla Virtual Machine; 
shutdownHooks. Possibility di registrare e deregistrare classi che 
vengono richiamate in fase di disattivazione della Virtual Machine; 
setFartory. Possibility di impostare le factory per la creazione di 
stream o per la gestione di URL; 

setlO. Possibility di impostare i flussi relativi a System, in, Sy- 
stem, out e System. err; 

modifyThread. Possibility di modificare I'esecuzione di un thread, 
ad esempio per interromperlo, sospenderlo, ripristinarlo, impostan- 
done la priority. 

stopThread. Possibility di interrompere un thread; 
modifyThreadGroup. Possibility di modificare i gruppi di thread; 
getProtedionDomain. Possibility di ottenere I'oggetto Pro- 
tectionDomain di una classe, che contiene informazioni sulla 
politica di sicurezza in uso; 

readFileDescriptor. Possibility di leggere un particolare file asso- 
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ciato ad uno specifico descrittore; 

writeFileDescriptor. Possibilita di scrivere un particolare file associate 
ad uno specifico descrittore; 

loadLibrary.{library name}. Possibilita di caricare una libreria di- 
namica; 

accessClasslnPackage.{nome package }. Possibilita di accesso 
al package specificate tramite il metodo loadClass () del class 
loader; 

defineClasslnPackage.{package name}. Possibilita di defini- 
zione di classi nel packages specificate tramite il metodo def i- 
neClassO del class loader; 

accessDeclaredMembers. Possibilita di accesso ai membri di- 
chiarati di una classe; 

queuePrintJob. Inizio di un lavoro di stampa; 

getStackTrace. Possibilita di accedere alle informazioni dello stack 

di chiamate di un altro thread; 

setDefaultllncaughtExceptionHandler. Possibilita di installare 
un gestore di default delle eccezioni da utilizzare quando un thread 
termina per via di una eccezione non intercettata; 
preferences. Rappresenta il permesso di accedere alle preferenze 
dell'utente o di sistema, e di conseguenza rappresenta I'accesso in 
lettura o scrittura alle preferenze nel sistema di memorizzazione per- 
sistente. 



Le funzionalita rappresentate dai permessi di RuntimePermission 
sono molto critici per il funzionamento della Virtual Machine, in quanta 
vanno ad interagire con i meandri del suo funzionamento. Ad esempio, 
I'obiettivo createClassLoader rappresenta una funzionalita molto peri- 
colosa. Codice maligno potrebbe infatti sfruttare un proprio class loader 
per caricare un worm, od un programma simile, ed installarlo in un do- 
minio di sicurezza per cui e garantito qualsiasi permesso. Ma anche la pos- 
sibilita di modificare lo state dei thread, o di leggere le proprieta di sistema 
possono produrre risultati imprevedibili, o compromettere la segretezza 
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di dati sensibili. 

SecurityPermission 

Questa tipologia di permessi interagisce con gli elementi di gestione del- 
la sicurezza presenti nella piattaforma. In particolare SecurityPer- 
mission permette di gestire I'accesso controllato ad elementi quali 
Policy, Security, Provider, Signer ed Identity. Alcu- 
ni di questi sono stati gia accennati, altri saranno approfonditi nelle pros- 
sime pagine. Anche questo permesso ha obiettivi ma non liste di azioni. 
Gli obiettivi supportati sono: 

createAccessControlContext. Possibility di creare un oggetto 

AccessControlContext; 

getDomainCombiner. Possibility di ottenere un oggetto Do- 

mainCombiner. Questo ed il precedente permesso potrebbero 

permettere I'accesso a dati sensibili; 

getPolicy. Ottenimento della politica di sicurezza a livello di siste- 

ma; 

setPolicy. Impostazione della politica di sicurezza a livello di si- 
stema; 

getProperty.{key}. Ottenimento del valore della propriety di sicurezza 
con la chiave indicata; 

setProperty.{key}. Impostazione del valore della proprieta di si- 
curezza con la chiave indicata; 

insertProvider.{provider name}. Possibility di aggiungere un 
provider di sicurezza; 

removeProvider.{provider name}. Possibility di rimuovere un 
provider di sicurezza; 

setSystemScope. Possibility di impostare I'area di visibility dell'identita 
di sistema; 

setldentityPublicKey. Possibility di impostare la chiave pubblica 
di una certa identita; 

setldentitylnfo. Possibility di impostare le informazioni relative 
ad una identita; 
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addldentityCertificate. Possibility di aggiungere un certificate di 
identita; 

removeldentityCertificate. Possibility di rimuovere un certifica- 
te di identita; 

printldentity. Possibility di visualizzare le informazioni relative ad 
una identita; 

clearProviderProperties.{provider name}. Possibility di azze- 
rare le propriety di un provider di sicurezza; 
putProviderProperty.{provider name}. Possibility di aggiun- 
gere una propriety al provider di sicurezza; 
removeProviderProperty.{provider name}. Possibility di ri- 
muovere una propriety dal provider di sicurezza; 
getSignerPrivateKey. Possibility di ottenere la chiave privata di un 
soggetto firmatario di certificate; 

setSignerKeyPair. Possibility di impostare la chiave privata e pub- 
blica di un soggetto firmatario di certificate. 

Gli impatti legati alia concessione di questi permessi sono notevoli, poi- 
che tutte queste funzionalita sono relative ai meccanismi che regolano 
la sicurezza di una applicazione Java. La possibility di manipolare iden- 
tity, certificati, chiavi pubbliche e private, politiche di sicurezza, certifica- 
ti e provider di sicurezza consentono di modificare il livello di sicurezza di 
un sistema. Questi permessi dovrebbero dunque essere concessi con 
molta cautela. Ad esempio, si consideri la funzione setPolicy, che per- 
mette di impostare la politica di sicurezza del sistema. Del codice mali- 
gno potrebbe sfruttare questa funzione per assicurarsi tutti i permessi 
possibili. Oppure, si pensi a setSignerKeyPair. La possibility di impostare 
chiavi pubbliche e private potrebbe consentire a codice maligno di sostituire 
una identita con un'altra, oppure di decodificare il traffico in transito tra 
due punti. 

SocketPermission 

I permessi rappresentati da questa classe consentono di accedere alia 
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rete utilizzando le socket. Non si parla piu di rete a livello piu alto, come 
nel caso di NetPermission. L'obiettivo di questo permesso pud essere 
specificate nella forma "nome computenintervallo porte", dove il nome 
del computer pud essere definite in una serie di modi diversi (tabella 2). 



Dato 


Significato 


nome del computer 


un singolo computer 


indirizzo IP (v4 o v6) 


un singolo computer 


localhost 


computer locale 




come localhost 


nome computer.dominio 


singolo computer all'interno di un dominio 


nome computer.sotto 


singolo computer all'interno di un sottodominio 


dominio.dominio 


tutti i computer all'interno di un dominio 


'.domain 


tutti i computer all'interno di un sottodominio 


".sotto dominio.dominio 




* 


tutti i computer 



Si noti che il carattere jolly pud apparire solo una volta nel nome 
DNS. Se viene incluso, deve essere specificate nella posizione piu a 
sinistra del nome, come *. ioprogrammo.net. 



L'intervallo di porte pud essere specificate invece in diversi modi: 
N, singola porta; 

N-, tutte le porte dalla N e successive; 

-N, tutte le porte fino alia N; 

N1-N2, tutte le porte incluse dalla N1 alia N2. 

II numero di porte sono interi non negativi, che variano da 0 a 65535. 
Questo permesso gestisce anche una lista di azioni, che sono: 

accept. Accetta una connessione; 

connect. Esegue una connessione; 

listen. Ascolto da una porta; 

resolve. Risoluzione di un nome host al DNS; 
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si noti che le prime tre azioni implicano automaticamente la quarta, in quan- 
ta un'operazione di accept, connecto listen richiede per forza la possi- 
bility di risolvere nomi ad un DNS. 
Alcuni esempi di utilizzo di questo permesso sono: 



SocketPermission p = 


new SocketPermission("www.ioprogrammo.net "."accept"); 


P 


= newSocketPermission("80.19.178.246 "."accept"); 


P 


= new SocketPermission("*. net", "connect"); 


P 


= new SocketPermission("*.ioprogrammo.net:80", "accept"); 


P 


= new SocketPermission("*.ioprogrammo.net:-1023", "accept"); 


P 


= new SocketPermission("*.ioprogrammo.net:1 024- "."connect"); 


P 


= new SocketPermission("www.ioprogrammo.net:8000-9000", 


"connect.accept"); 


P 


= new SocketPermission("localhost:1024-", 


" accept.connect, listen "); 



Si noti che "listen" e una azione che si applica a porte presenti sul- 
I'host locale, mentre "accept" si applica sia agli host locali che re- 
moti. Dunque, quando si parla di host locali, e necessario indicare 
sia "listen" che "accept". 

PERMESSI PERSONALIZZATI 

II sistema dei permessi e un elemento estensibile della piattaforma Java, 
anche se e necessario notare come questo debba seguire delle regole 
specifiche. 

Infatti, I'introduzione di nuove funzionalita, come la modifica di permessi 
gia esistenti, ad esempio per I'aggiunta di nuovi obiettivi e una attivita 
riservata solamente a SUN. In questo modo, si desidera mantenere con- 
sistenza tra le diverse implementazioni della Virtual Machine. L'esten- 
sione applicativa dovra quindi passare per altre classi permesso, realiz- 
zate appositamente. 

Si consideri ad esempio una ipotetica API per il supporto ad una scheda 
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di ricezione FM, che consenta di ascoltare la radio dal proprio PC. Que- 
ste API potrebbero implementare una serie di permessi per regolare I'ac- 
cesso al dispositivo, ad esempio per consentire o negare I'accesso a de- 
terminati canali o frequenze. Per creare un permesso personalizzato e 
sufficiente creare una sottoclasse concreta di j ava . security . Per- 
mission, ed implementare i diversi metodi richiesti, come nel seguente 
listato: 

package net.ioprogrammo.javasecurity.cap2; 
import java.security.Permission; 

public class RadioPermission extends Permission { 

I** 

* Crea un permesso di ascolto della radio per il canale 

* o la frequenza indicata. Ad esempio: " rtll 02.5 " 

* oppure:101.25 

* 

* @param name 

*/ 

public RadioPermission(String name) { 
super(name); 

} 

public boolean implies(Permission argO) { 
//da implementare 
return false; 

} 

I** 

* @see java.lang.Object#equals(java.lang. Object) 
*/ 

public boolean equals(Object obj) { 
boolean result = false; 

if (obj instanceof RadioPermission ) { 
RadioPermission rp = (RadioPermission)obj; 
if( rp.getName().equals( getName() ) ) { 
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result = true; 

} 

} 

return result; 

} 

/** * ©see java.lang.Object#hashCode() */ 
public int hashCode() { 

return getName().hashCode(); 

} 

/** * Ritorna le azioni supportate 

* ©see java.security.Permission#getActions() 

* ©return stringa vuota */ 
public String getActions() { 




per verificare la possibility di accedere ad un determinate canale si puo 
scrivere: 

net.ioprogrammo.javasecurity.cap2.RadioPermission p = new 

net.ioprogrammo.javasecurity.cap2.RadioPermission("rtl102.5"); 



per concedere questo permesso all'applicazione, e necessario inserire 
nel file di politica il seguente permesso: 

grant { 

permission net.ioprogrammo. 
javasecurity.cap2.RadioPermission "rtl102.5"; 

} 

I metodi che e necessario implementare in un permesso personalizzato 
sono dunque: 
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il costruttore. Nel costruttore dovra essere inserito il codice di gestione 
dell'obiettivo passato, con I'eventuale decodifica di caratteri jolly o 
di altri simbolismi; 

metodo implies ( ) . II metodo implies ( ) , come si ricordera 
dalle pagine precedenti, dovra indicare se un certo permesso ne 
implica un altro. Ad esempio, il permesso di ascoltare la freguenza 
102.5 implica il permesso di ascoltare la radio con nome rtl 1 02.5; 
metodo equals ( ) . II metodo equals ( ) , come il successivo 
hashCode ( ) , deve essere opportunamente implementato. Si ri- 
cordi, dalle basi del linguaggio Java, come questi due metodi con- 
sentono il confronto tra oggetti e I'inserimento in collezioni. In que- 
sto caso il metodo equals ( ) verifica solo che il tipo di oggetto 
sia RadioPermission e confronta le stringhe che rappre- 
sentano i nomi; 

metodo hashCode ( ) . Anche questo metodo deve essere cor- 
rettamente implementato, poiche efontamentale per I'inserimen- 
to dell'oggetto in una struttura dati, come ad esempio una Per- 
missionCollection 0 Permissions. In questo caso, vi- 
sto che I'elemento distintivo dell'oggetto e I'attributo name, viene 
restituito I'hash code di questo; 

metodo getActions ( ) . II permesso non supporta azioni, sem- 
plicemente e possibile ascoltare o non ascoltare un dato canale, 
dunque viene ritornata una stringa vuota. 

RICHIEDENTI ED IDENTITA 

Prima di approfondire la gestione delle politiche di sicurezza della piat- 
taforma Java e necessario introdurre due ulteriori concetti, che ritorneranno 
nei capitoli successivi in merito all'autenticazione. Le API della sicurezza 
per la piattaforma Java definiscono due oggetti importanti: 

Subject. Rappresenta I'origine di una richiesta di autenticazio- 
ne. Ad esempio un utente che si connette ad una applicazione, od 
anche un processo software che richiede I'accesso ad un server; 
Principal. Una volta autenticato, al Sub j ect vengono associati 
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uno o piu oggetti Principal, che rappresentano sostanzial- 
mente una identita specifica ad un contesto di sicurezza. Un princi- 
pal pud rappresentare un individuo, una azienda oppure una ID di 
login; 

In altre parole, i principal sono identita (un utente ne pud avere diver- 
se): esempi sono il nome, come "Mario Rossi", oppure il codice fiscale, 
come RSSMRA74D20F205F. Codici diversi che pero riconducono tutte 
allastessa persona fisica. 

Subject e Principal vengono utilizzate nelle API JAAS (Java 
Authorization and Authentication Service). 

POLITICHE DI SICUREZZA 

Le politiche di sicurezza in uso in un ambiente Java sono rappresentate 
da un oggetto di tipo j ava . security . Policy, o meglio, da una 
sua sottoclasse concreta. Per tutte le tipologie di componenti Java, e ne- 
cessario specificare una politica di sicurezza che conceda i permessi op- 
portuni. Ad esempio, alle applicazioni viene concesso il permesso All- 
Permissions, mentre quelli accordati alle Applet sono molti meno. 
L'unica eccezione e che tutti i codici hanno il permesso di accedere in 
lettura alio stesso code source ed alle sue sottodirectory. 

La classe j ava . security . CodeSource estende il concetto 
di codebase per incapsulare non solo la posizione del codice (URL), 
ma anche gli eventuali certificati che contengono le chiavi pubbli- 
che che dovrebbero essere utilizzate per verificare code firmato che 
proviene dalla stessa posizione. 

Nel listato seguente viene implementata la stampa dei permessi conte- 
nuti nella politica di sicurezza corrente per il codebase relativo al codice 
corrente. Per ottenere I'oggetto Policy corretto e necessario esegui- 
re la chiamata al metodo statico Policy .getPolicy () . Da que- 
sto e possibile ottenere una PermissionCollection con I'elen- 



46 



I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



Capitolo 2 



La sicurezza nella piattaforma Java 



co dei permessi relativi ad uno specifico codesource. Dall'oggetto Per- 
missionCollection e poi possibile enumerare i permessi chia- 
mando il metodo elements ( ) : 

package net.ioprogrammo.javasecurity.cap2; 

import java.net.MalformedURLException; 

import java.net.URL; 

import java.security.CodeSource; 

import java.security.Permission; 

import java.security.PermissionCollection; 

import java.security.Policy; 

import java.util. Enumeration; 

public class DisplayPolicy { 

public static void main(String[] args) 

throws MalformedURLException { 

Policy currentPolicy = Policy.getPolicyO; 

System.out.println( currentPolicy ); 

CodeSource codeSource = new CodeSource( 
new URL("file:."), null 

); 

PermissionCollection pc = 

currentPolicy.getPermissions( codeSource ); 

for( Enumeration e = pc.elements(); 

e.hasMoreElements();) { 
Permission p = (Permission)e.nextElement(); 
System.out.println(p); 

} 




il programma produce un output simile al seguente: 



sun.security.provider.PolicyFile@e0cf70 
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PropertyPermission java.vm.version read) 
PropertyPermission os.arch read) 
PropertyPermission java.vm.specification.name read) 
PropertyPermission java.vm.specification.version read) 
PropertyPermission java.specification.version read) 
PropertyPermission java.vendor read) 
PropertyPermission path.separator read) 
PropertyPermission mrj.version read) 
PropertyPermission line.separator read) 
PropertyPermission com.apple.hwaccel read.write) 



(java.lang.RuntimePermission stopThread) 



altri metodi interessanti della classe Policy sono: 

getPermissions(ProtectionDomain). 

Ritorna i permessi per il dominio di sicurezza voluto; 
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Indica se il permesso e presente per il dominio di 
protezione indicato; 

refresh(). Rinfresca e ricarica la politica di sicurezza; 
setPolicy(Policy). 

Imposta una nuova politica di sicurezza. 

FORMATO DEL FILE DI POLITICHE 

Nell'implementazione di riferimento le politiche di sicurezza possono es- 
sere specificate con uno o piu file di configurazione. In questi file sono pre- 
senti i permessi concessi al codice. Questi file di configurazione sono co- 
dificati in UTF-8. 

Come abbiamo visto in precedenza, in un file di politiche pud essere pre- 
sente un qualsiasi numero di elementi "grant"; questo pud anche non es- 
sere presente. Inoltre il file pud presentare anche un elemento "keysto- 
re". 

Un keystore individua un database di chiavi private e dei relativi certifi- 
cati (ad esempio di tipo X.509). I keystore saranno descritti in maggior det- 
taglio in seguito. 

Ogni elemento "grant" in un file di politiche segue un formato specifico. 
La parola chiave grant e riservata, ed individua I'inizio di un blocco di 
permessi. Per ciascun grant e possibile specificare alcuni attributi: 
SignedBy. Indica i firmatari di questo grant. Perfirma si intende una 

firma digitale fatta con certificati come X.509; 
CodeBase. Specifica il codebase a cui fa riferimento questo grant. 
Ogni grant pud infatti coinvolgere tutto il codice o solo codi- 
ce ottenuto da URL particolari; 
Principal. Rappresenta le identita di sicurezza per il quale il grant e 
valido, che ovviamente dovra essere presente nel thread di 
esecuzione. In sostanza si indica quale certificato od altra 
identita di sicurezza deve essere stata concessa 
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all'utente corrente; 

La sintassi completa dell'elemento grant e la seguente: 

grant [SignedBy "signer_names"] [, CodeBase "URL"] 
[, Principal [principaLclass_name] "principal_name"] 
[, Principal [principaLclassjame] "principal_name"] ... { 
permission permission_classjiame [ "target_name" ] 

[, "action"] [, SignedBy "signer_names"]; 
permission ... 

}; 

L'URL specificate nell'attributo CodeBase viene interpretato con 
una serie di convenzioni e non come un normale URL Internet. Per 
prima cosa, un codebase che inizia per "/" individua tutte le classi 
presenti nella directory specificata (classi, non file JAR). Se invece il 
codebase inizia per "/* ", vengono individuate sia le classi che i file 
JAR. Se il codebase inizia per "/-" vengono individuati tutti i file (sia 
le classi che i file JAR) nella directory corrente e ricorsivamente in 
tutti i file in tutte le sottodirectory contenute in quella specificata. 

Gli elementi "keystore", sono obbligatori nel file di politiche se una o piu 
espressioni "grant" fanno uso di firmatari o di principal. Maggiori detta- 
gli su chiavi, certificati di sicurezza e principal verranno forniti nei prossi- 
mi capitoli. 

Alcuni esempi di configurazione dei grant sono illustrati in tabella 3. 

Sebbene esista il modo per verificare le implicazioni tra diversi per- 
messi, esiste un ulteriore livello di implicazione tra i permessi che 
potrebbe non risultare immediatamente owio. Ad esempio, se ad 
una Applet viene concesso il complete accesso al file system, que- 
sta avra probabilmente I'accesso ai binari della Virtual Machine. Di 
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fatto avra dunque tutti i permessi. 

Un altro esempio e concedere I'accesso al class loader. Anche in 



Tabella 3 - Esempi di configurazione dei permessi 



specifica grant 


commento 


grant signedBy "Max" { 
permission net.ioprogrammo.Test; 

}; 


Concede il permesso 

net . ioprogrammo . Te 
st al codice firmato da Max 


grant { 
permission 

java.io.FilePermission ".tmp", read"; 


concede il permesso di lettura del 
file .tmp 


grant signedBy "Max.Fabio" { 
permission java.io.FilePermission 

"/tmp/*", "read"; 
permission 

java.util.PropertyPermission "user.*", 

"read"; 

}; 


concede al codice proveniente dal 
sito www.ioprogrammo.net e 
firmato da Max i permessi di 
lettura della directory /tmp/ ed il 
permesso di connettersi via socket 
a qualsiasi computer. 


grant principal 

javax.security.auth.x500.X500Principal 
"cn=Max" { 

permission java.io.FilePermission 
"/Users/max", "read, write"; 

}; 


fornisce il permesso di accedere ai 
file sotto il percorso /Users/max 
agli utenti connessi al sistema con 
identita di sicurezza X500 
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questo caso significa che sono stati concessi molti piu diritti. 

GESTIONE DELLE PROPRIETA 

Per semplificare la gestione di file di politiche particolarmente comples- 
si, e possibile utilizzare la gestione delle proprieta, che permette di utilizzare, 
al posto di una stringa fissa, una chiave che viene automaticamente va- 
lorizzata dal sistema in funzione delle condizioni di esecuzione. Ad esem- 
pio, il permesso seguente: 

permission java.io. FilePermission "${user.home}", "read"; 

vuole concedere il permesso di lettura dei file presenti nella directory per- 
sonal dell'utente. A runtime user.homev'iene espansa con il reale valo- 
re; se ad esempio I'utente corrente e max, su sistemi Mac OS X il per- 
messo viene tradotto come: 

permission java.io. FilePermission "/Users/max", "read"; 

Per agevolare la specifica di politiche di sicurezza indipendenti dalla piat- 
taforma e presente una speciale proprieta, che e una abbreviazione di $ { fi- 
le . separator } . questa e $ { / } . Per questo motivo il permesso se- 
guente: 

permission java.io.FilePermission "${user.home}${/}*", "read"; 

su sistemi basati su Unix, se la directory personale dell'utente e /Users/max, 
il permesso diviene: 

permission java.io.FilePermission "/home/cathy/*", "read"; 

su Windows invece si otterrebbe qualcosa di simile al seguente: 

permission java.io.FilePermission "C:\Document and Settings\max\*", "read"; 
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Si noti che le proprieta annidate sono sono supportate. Ad esempio, 
la seguente espressione non e valida: {$user.{$test}}. 

Le proprieta utilizzabili sono quelle supportate dal metodo Sy- 
stem . getProperty ( ) . 

UN FILE Dl ESEMPIO 

Ora verra analizato un file di politiche di esempio, in particolare quello pre- 
sents su Mac OS X 10.3, in cui e presente Java in versione 1 .4.2. II file uti- 
lizzato da Apple e leggermente piu complesso di quelli in uso su altri si- 
stemi, come Windows, in quanto tiene in considerazione le varianti di 
implementazione utilizzate sul Mac. In particolare, la posizione del run- 
time environment e diversa rispetto ad altri sistemi, anche se di deriva- 
zione Unix. Inoltre Apple imposta una serie di proprieta aggiuntive che per- 
mettono alle applicazioni di capire che sono in esecuzione su questo si- 
stema operativo, ed agire di conseguenza. Di tutti questi elementi e ne- 
cessario gestire correttamente i permessi.La prima parte del file conce- 
de i tutti i diritti possibili (ah Permission) a tutte le librerie di si- 
stema, che possono essere contenute nei percorsi: 

file:${java.home}/lib/ext/* 

file:${user.home}/Library/Java/Extensions/* 

file:/Library/Java/Extensions/* 

file:/System/Library/Java/Extensions/* 

file:/Network/Library/Java/Extensions/* 

in sostanza tutto il codice che deriva da questi percorsi, che su Mac OS 
X possono ospitare estensioni di sistema, hanno accesso completo al si- 
stema. Su Windows, per fare un altro esempio, Tunica grant di questo ti- 
po e la prima, relativa al percorso file : $ { j ava .home } /lib/ext/*. 

// Standard extensions get all permissions by default 
grant CodeBase "file:${java.home}/lib/ext/*" { 
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"java.class.version", "read"; 
permission java.util.PropertyPermission "os.name", "read"; 
permission java.util.PropertyPermission "os.version", "read"; 
permission java.util.PropertyPermission "os.arch", "read"; 
permission java.util.PropertyPermission 

"file.separator", "read"; 
permission java.util.PropertyPermission 

"path. separator", "read"; 
permission java.util.PropertyPermission 

"line.separator", "read"; 
permission java.util.PropertyPermission 

"java.specification.version", "read"; 
permission java.util.PropertyPermission 

" java .specification .vendor " , " read " ; 
permission java.util.PropertyPermission 

"java.specification.name", "read"; 
permission java.util.PropertyPermission 

"java.vm.specification.version " , " read " ; 
permission java.util.PropertyPermission 

"java .vm. specif ication .vendor " , " read " ; 
permission java.util.PropertyPermission 

"java.vm. specification. name", "read"; 
permission java.util.PropertyPermission 

"java.vm.version", "read"; 
permission java.util.PropertyPermission 

"java.vm.vendor", "read"; 
permission java.util.PropertyPermission "java.vm. name", "read"; 
permission java.util.PropertyPermission 

"apple.awt.*", "read, write"; 
permission java.util.PropertyPermission 

"apple.laf.*", "read, write"; 
// Apple-specific properties 

permission java.util.PropertyPermission "mrj.version", "read"; 
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permission java.security.AIIPermission; 

}; 

grant CodeBase "file:${user.home}/Library/Java/Extensions/*" { 
permission java.security.AIIPermission; 

}; 

grant CodeBase "file:/Library/Java/Extensions/*" { 
permission java.security.AIIPermission; 

}; 

grant CodeBase "file:/System/Library/Java/Extensions/*" { 
permission java.security.AIIPermission; 

}; 

grant CodeBase file:/Network/Library/Java/Extensions/*" { 
permission java.security.AIIPermission; 

}; 

gli altri elementi grant presenti nel file corrispondono a quelli presenti su 
Windows, ed includono la possibility di terminare il thread corrente, di 
mettersi in ascolto su porte non privilegiate e di leggere le proprieta di si- 
stema. A queste, Apple ha aggiunto delle sue proprieta specifiche, alcu- 
ne delle quali sono accessibili in scrittura: 

// default permissions granted to all domains 
grant { 

permission java.lang.RuntimePermission "stopThread"; 
// allows anyone to listen on un-privileged ports 
permission java.net.SocketPermission 

"localhost:1024-", "listen"; 
// "standard" properies that can be read by anyone 
permission java.util.PropertyPermission "java.version", "read"; 
permission java.util.PropertyPermission "java.vendor", "read"; 
permission java.util.PropertyPermission 

"java.vendor.url", "read"; 
permission java.util.PropertyPermission 
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// Deprecated properties for compatibility with Java 1 .3.1 
permission java.util.PropertyPermission 

"com.apple.macos.useScreenMenuBar", "read, write"; 
permission java.util.PropertyPermission 

"com.apple.hwaccel", "read, write"; 

}; 

DOMINI Dl SICUREZZA 

Ciascun contesto di sicurezza e diviso, per maggior chiarezza, protezio- 
ne e comodita, in domini diversi. La definizione di dominio, nell'ambito del- 
la sicurezza e la seguente (Salzter e Schroeder): 

Un dominio pud essere definito come un insieme di 
oggetti che sono attualmente direttamente accessibili da 
un principal, dove il principal e una entita nel sistema 
al quale sono garantiti ipermessi. 

II modello di sicurezza originale del linguaggio Java, la famosa sandbox, 
e un esempio di dominio di protezione dal perimetro fisso. Per perimetro 
fisso si intende il fatto che la quantita, configurazione e qualita dei per- 
messi non pud essere cambiata. 

I domini di protezione generalmente vengono suddivisi in due categorie 
diverse: domini di sistema e domini applicativi. E importante che tutte le 
risorse esterne, come il file system, la rete, lo schermo o la tastiera siano 
accessibili solo da domini di sistema. 

Un dominio concettualmente racchiude una serie di classi alle cui istan- 
ze sono stati garantiti un insieme di permessi. I domini di protezione so- 
no determinati dalla politica di sicurezza in uso. La piattaforma Java si 
occupa di mantenere la corrispondenza tra il codice (classi ed oggetti) 
ed i relativi domini di protezione, e da questi ai permessi. Quando un th- 
read di esecuzione esegue del codice, questo potrebbe incorrere in un 
unico dominio, oppure in domini applicativi e di sistema. 
Bisogna considerare I'impatto logico che porta la presenza di piu domi- 
ni di sicurezza. 
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Ad esempio, un'applicazione che vuole stampare un messaggio sulla 
console utilizza API di sistema per produrre I'output. Queste ultime gi- 
reranno aH'interno di un dominio di sicurezza di sistema, che quindi 
avra un insieme di permessi ampio. Per fare in modo di non produrre 
errori di sicurezza, anche I'applicazione, e quindi il suo dominio di sicu- 
rezza, dovra avere i diritti necessari a produrre la stampa. In altre paro- 
le, non e possibile ottenere maggiori permessi semplicemente chia- 
mando un dominio con piu diretti. Lo stesso discorso e vera al contra- 
rio: quando ad esempio un componente AWT chiama il metodo 
paint ( ) per disegnare il contenuto del componente, e necessario 
che I'applicazione abbia i permessi opportuni, gli stessi che anno le API 
AWT e che permettono I'accesso al display. In definitiva, i permessi ot- 
tenuti da una determinata porzione di codice sono il minimo comune 
denominatore dei permessi presenti in tutti i domini di sicurezza attra- 
versati. Se ad esempio vengono incontrati due domini, ciascuno con il 
proprio insieme di permessi, e I'unico permesso in comune ai due e 
PropertyPermission "*", "read". II codice in esecuzione 
avra come unico permesso quello di leggere qualsiasi proprieta, speci- 
ficate appunto dal permesso PropertyPermission "*", 
"read". 

La piattaforma Java supporta anche I'esecuzione di codice privile- 
giato, che cioe esegue in un contesto dove sono garantiti maggiori 
permessi del normale. II codice privilegiato sara discusso in maggio- 
re dettaglio piu avanti nel teste. 

Un singolo dominio di sicurezza e rappresentato da una istanza della 
classe ProtectionDomain, che dispone dei seguenti metodi: 

ClassLoader getClassLoader ( ) . 
Ritorna il class loader per questo dominio; 

CodeSource getCodeSoruce ( ) . 
Ritorna il code source di questo dominio; 

PermissionCollection getPermission ( ) . 
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Ritorna i permessi concessi per questo dominio; 

Principal!] getPrincipals ( ) . 
Ritorna un array di principal per questo dominio; 

boolean implies (Permission) . 
Verifica se questo dominio implica i permessi specificati nel parametro. 
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AUTENTICAZIONE 

Un elemento fondamentale della piattaforma Java e JAAS (Java 
Authentication and Authorization Service), una API per gestire 
I'autenticazione degli utenti e controllare a quali funzionalita hanno 
accesso. 



In particolare JAAS pud essere utilizzato per due scopi: 

per I'autenticazione di utenti o processi, per determinare in mo- 
do sicuro ed affidabile chi sta eseguendo il codice Java, indipen- 
dentemente dal fatto che questo sia in esecuzione come applica- 
zione, Applet, JavaBean o Servlet; 

per I'autorizzazione degli utenti, per assicurarsi che questi ab- 
biano i permessi di accesso corretti per poter eseguire le azioni de- 
siderate. 



Le principali caratteristiche di JAAS sono: 

I'implementazione e "pure Java". Non sono state utilizzate parti di 
codice nativo, dunque la tecnologia e facilmente portabile su tutte 
le piattaforme che implementano una Virtual Machine per la piat- 
taforma Java in una versione sufficiente; 
architettura PAM (Pluggable Architecture Module) per I'autentica- 
zione degli utenti, che rende flessibile la modalita di autenticazio- 
ne utilizzata; 

supporto al single sign-on, quella caratteristica che permette agli 
utenti di autenticarsi una sola volta al sistema e mantenere le pro- 
prieta di autenticazione attive in sessione e condividerle in tutte le 
applicazioni JAAS utilizzate; 

politiche di autorizzazione flessibili basate sull'utente, sul gruppo e 
sul ruolo; 

moduli per I'autenticazione su tecnologie native JNDI, UNIX, Win- 
dows NT, Kerberos e Keystore, implementati nei package com.sun.se- 
curity.auth. module.* e javax. security. a uth . * . 
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Nota: In precedenza JAAS era disponibile come download se- 
parata, ma dalla versione 1 .4 della piattaforma Java e stato in- 
tegrate) nel JRE. Quelle qui descritte sono dunque funzionalita 
gia presenti nel normale ambiente Java. 

CONTESTI E MODULI Dl LOGIN 

I metodi di base per I'autenticazione di richiedenti (rappresentati da og- 
getti Subject) sono contenuti nella classe 
j avax . security . auth . login . LoginContext. Questa clas- 
se fornisce gli strumenti necessari a sviluppare un'applicazione indipen- 
dentemente dalla tecnologia di autenticazione sottostante, che e speci- 
ficata in una opportuna configurazione. 

Per autenticare un richiedente e necessario creare un oggetto Login- 
Context e passare un j avax. security. auth. call- 
back . CallbackHandler e poi chiamare il metodo login ( ) : 

LoginContext Ic = new LoginContext("Sample", 

new MyCallbackHandlerO); 
lc.login(); 

L'autenticazione vera e propria e a carico della tecnologia sottostante, 
che interagisce con LoginContext attraverso classi Java che imple- 
mentano I'interfaccia j avax . security . auth . spi . LoginMo- 
dule. 

II nome passato come primo parametro e utilizzato come indice nella con- 
figurazione per determinare quali LoginModule utilizzare, e quali de- 
vono concludersi con successo per fare in modo che l'autenticazione, nel 
suo complesso, vada a buon fine. E possibile configurare I'applicazione in 
modo che utilizzi different! LoginModule, senza la necessita di modificare 
il programma stesso. Oltre a supportare l'autenticazione configurabile 
{pluggable), la classe LoginContext supporta il concetto di autenti- 
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cazione a pila [stack). In questo modo le applicazioni possono essere con- 
figurate per utilizzare piu di un LoginModule. Ad esempio, sarebbe pos- 
sible configurare I'autenticazione Kerberos, da impiegare insieme ad un 
LoginModule di autenticazione attraverso smart card.Tornando all'esempio 
di codice, si pud notare come I'oggetto handler viene passato ai Lo- 
ginModule cosi da metterli in grado di comunicare ed interagire con 
gli utenti (ad esempio richiedendo utente e password in modo grafico 
attraverso una interfaccia utente). 

Se il metodo login ( ) ritorna senza sollevare eccezioni I'autenticazio- 
ne e avvenuta con successo. In caso di fallimento si genera una ja- 

Nota: E' da notare che i LoginModule non tentano la riesecuzione 
dell'autenticazione se questa fallisce. Nemmeno introduce dei ri- 
tardi tra una chiamata e I'altra, azioni che programmi completi di 
autenticazione spesso implementano. Nel caso lo si desideri, que- 
ste sono funzionalita da implementare manualmente. 



vax . security . auth . login . LoginException. 

II chiamante pud dunque ottenere il Sub j ect autenticato attraverso il 
metodo getSub j ect ( ) . Dal Sub j ect e possibile ottenere principal 
e credenziali utilizzando i metodi getPrincipals () , getPu- 
blicCredentials ( ) e getPrivateCredentials ( ) . 
Per eseguire il logout di un soggetto viene chiamato il metodo login(), 
chiamata che viene propagata ai metodi di logout dei moduli di autenti- 
cazione configurati. 

UN ESEMPIO CONCRETO 

Per capire in pratica come utilizzare I'autenticazione cominciamo a spe- 
rimentare le API di JAAS, iniziando con la creazione di un oggetto Lo- 
ginContext collegato ad una configurazione di autenticazione per- 
sonalizzata, che chiameremo "ioProgrammo". 
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II codice minimale per implementare I'autenticazione tramite JAAS e il 
seguente: 

package net.ioprogrammo.javasecurity.cap3; 

import java.io.lOException; 

import javax.security.auth.callback.Callback; 

import javax.security.auth.callback.CallbackHandler; 

import javax.security.auth.callback.UnsupportedCallbackException; 

import javax.security.auth. login.*; 

public class EsempioLogin { 

public static void main( String!] args ) 

throws LoginException { 
LoginContext Ic = 

new LoginContext("ioProgrammo", 

new 

MyCallbackHandlerO); 

lc.login(); 

} 

} 

Nota: Un oggetto LoginContext non dovrebbe essere utilizzato 
per autenticare piu di un soggetto. Per ciascun oggetto Subject 
dovrebbe esserci dunque un LoginContext dedicate. 

a cui si aggiunge la classe di implementazione dell'handler: 

/*** Implementazione personalizzata handler */ 
class MyCallbackHandler implements CallbackHandler { 
public MyCallbackHandlerO { 

} 

public void handle(Callback[] callbacks) 

throws lOException, UnsupportedCallbackException { 
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} 

} 

Osservando il codice, si vede che sono presenti diverse dichiarazioni, ma 
poca implementazione. La classe MyCallbackHandler infatti de- 
finisce il solo metodo handler ( ) che non fa nulla. Per ora, infatti si vuo- 
le verificare solo il collegamento del codice con il profilo di sicurezza "io- 
Programmo". Per provare questa classe e necessario lanciare la Virtual 
Machine passando anche il parametro: 

-Djava.security.auth.login.config==jaas. config 

Questa e una proprieta specifica di utilizzare il file di configurazione 
jaas. config, il cui contenuto e il seguente: 

Nota: Utilizzando I'ambiente Eclipse per eseguire il codice, 
questo parametro di configurazione e inserito nella casella VM 
Arguments, come illustrate) in figura 1 . 
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Figura 1 - Configurazione di Eclipse per I'esecuzione del programma di prova 
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ioProgrammo { 

com.sun.security.auth.module.UnixLoginModule required debug=true; 

}; 

Osservando il contenuto si nota che e presente un solo elemento di con- 
figurazione, "ioProgrammo", che indica di utilizzare il modulo di auten- 
ticazione unixLoginModule, che e richiesto (required) ed il cui attribute 
di debug e impostato a true. 

Quest'ultimo parametro indica al sistema di stampare a console le infor- 
mazioni di debug, prodotte alia chiamata del metodo login ( ) : 

[UnixLoginModule]: succeeded importing info: 

uid = 501 

gid = 501 

supp gid = 501 

supp gid = 79 

supp gid = 80 

supp gid = 81 
[UnixLoginModule]: added UnixPrincipal, 
UnixNumericUserPrincipal, 
UnixNumericGroupPrincipal(s), 

to Subject 

OTTENERE LE IDENTITA 

A questo punto e possibile sviluppare ulteriormente il programma sopra 
illustrate in modo da ottenere il Sub j ect da LoginContext e da 
questo I'elenco delle identita dell'utente, sottoforma di oggetti Principal. 
Questi si ottengono da Sub j ect utilizzando il metodo getPrinci- 
pals ( ) , che ritorna un oggetto j ava . util . Set: 



package net.ioprogrammo.javasecurity.cap3; 
import java. util. Set; 
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import javax.security.auth. login. LoginContext; 
import javax.security.auth. login. LoginException; 
public class EsempioLoginl { 

public static void main( Stringf] args ) 
throws LoginException { 
LoginContext Ic = 

new LoginContext(" ioProgrammo " , 
new MyCallbackHandlerO); 
lc.login(); 

Subject subject = Ic.getSubjectO; 
Set principals = subject.getPrincipals(); 
System.out.println( " — " ); 
System.out.println( principals ); 




Unoggettoset e stampabile direttamente con System. out. prin- 
tln ( ) , in quanta implementa il metodo toString ( ) . 
L'output a console, tagliato per includere solo i principal e il seguente: 

[UnixPrincipal: max, UnixNumericUserPrincipal: 501, 
UnixNumericGroupPrincipal [gruppo primario]: 501, 
UnixNumericGroupPrincipal [gruppo supplementarej: 79, 
UnixNumericGroupPrincipal [gruppo supplementarej: 80, 
UnixNumericGroupPrincipal [gruppo supplementarej: 81] 

II sistema di autenticazione riconosce correttamente che I'utente con- 
nesso al sistema e "max", a cui corrisponde il codice numerico 501. Al- 
tri gruppi a cui appartiene I'utente sono: 79, 80 ed 81 . 
Si noti che ciascun elemento qui descritto e un diverso principal, 
come si deduce eseguendo una stampa dei singoli elementi del 
Set ritornato, utilizzando ad esempio questa porzione di codice: 
System.out.println( "===" ); 
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for( Iterator iter = principals.iterator(); iter.hasNext(); ) { 
System. out.println( iter.next() ); 
System. out.println( "— " ); 

} 

I'output prodotto e il seguente: 

UnixPrincipal: max 
UnixNumericUserPrincipal: 501 
UnixNumericGroupPrincipal [gruppo primario]: 501 
UnixNumericGroupPrincipal [gruppo supplementare]: 79 
UnixNumericGroupPrincipal [gruppo supplementare]: 80 
lumericGroupPrincipal [grupp 



ALL'INTERNO Dl UN SUBJECT 

La classe Sub j ect dispone di una serie di metodi interessanti. Fino ad 
ora ne sono stati solo accennati alcuni, ora invece vedremo di quali altre 
funzionalita dispone. 

Per prima cosa e interessante notare come in alcuni casi gli oggetti 
Sub j ect forniti da LoginContext possono essere in modalita di so- 
la lettura. In questo caso non e possibile modificare I'elenco dei principal 
e delle credenziali. L'oggetto risulta dunque bloccato alle modifiche di un 
possibile codice maligno, magari impegnato nel tentativo di ottenere piu 
diritti di quelli che dovrebbe avere. 

Un oggetto in modalita di sola lettura non pub essere riportato in moda- 
lita scrittura ed ogni tentativo di modifica a principal e credenziali pro- 
duce un IllegalStateException. Persaperese un Subject 
e in modalita di sola lettura e possibile utilizzare il metodo seguente: 
public boolean isReadOnlyO; 

per impostare la modalita di sola lettura si utilizza invece il metodo 
public void setReadOnlyO 

se pero il codice chiamante non ha i permessi di accesso a questo meto- 
do (si veda in proposito il capitolo precedente), viene sollevata una j a- 
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va . lang . SecurityException. 

Un altro aspetto implementato nel soggetto e I'accesso alle credenziali pub- 
bliche e private, attraverso i metodi: 

Set getPrivateCredentialsO; 
Set getPrivateCredentials(Class); 
Set getPublicCredentials(); 
Set getPublicCredentials(Class); 

le credenziali sono attributi relativi alia sicurezza rappresentati da 
qualsiasi oggetto Java. Le credenziali che richiedono protezioni 
speciali, come chiavi crittografiche private, sono memorizzate nel set 
di credenziali private (che si ottiene con 
getPrivateCredentials ( ) ). Le credenziali nate invece per 
essere condivise con altri, come ad esempio le chiavi pubbliche dei 
certificati, sono memorizzate nel set di credenziali pubbliche (ottenute 
invece getPublicCredentials ( ) ). Per poter modificare od 
accedere ai different! insiemi di credenziali sono necessari diversi 
permessi. 

I Set ritornati da getPrivateCredentials ( ) e getPu- 
blicCredentials () sono quelli utilizzati internamente da Subject 
percontenere le credenziali. Qualsiasi modifica a questi insiemi compor- 
ta dunque una modifica alle credenziali del soggetto. Diverso il discorso 
in merito a getPrivateCredentials (Class) e getPu- 
blicCredentials (Class) , in quanta ad ogni chiamata e co- 
struito un nuovo Set contenente oggetti del tipo indicate come parametro. 

Nota; II permesso di manipolazione dei principal e delle creden- 
ziali viene concesso a fronte del permesso AuthPermission, 
gia accennato. In particolare, devono essere concessi permessi 
con obiettivi "modifyPrincipals", "modifyPublicCredentials" e 
"modifyPrivateCredentials", rispettivamente per modificare i 
principal, le credenziali pubbliche e le credenziali private. 
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La modifica di questi Set non si riflette dunque sul contenuto dell'oggetto 

Subject. 

L'ultimo interessante gruppo di metodi presenti nella classe Sub j ect e 
relativoall'esecuzione di azioni privilegiate, implementate dai metodi 

doAs ( ) e doAsPrivileged ( ) . 

Si noti pero che questi metodi sono a livello di classe (statici) e quindi non 
funzionano in relazione alio specifico soggetto. Maggiori dettagli sull'e- 
secuzione di azioni privilegiate saranno fornite nel capitolo successivo. 

SVILUPPARE IL PROPRIO MODULO DI 
LOGIN 

L'architettura di autenticazione della piattaforma Java e estensibile, ed 
infatti e possibile creare i propri moduli LoginModule ed i propri principal 
personalizzati. Nell'esempio che segue vengono creati questi elementi e 
mostrato come utilizzare in pratica gli oggetti di callback. La sequenza 
delle chiamate e illustrata in figura 2 e e descritta alia fine di questo pa- 
ragrafo.Vediamo ora il codice. Nella classe EsempioLogin3, molto simile 
alia classe EsempioLoginl mostrata sopra, e creato un LoginContext che 
punta alia configurazione "ioProgrammo" ed utilizza la classe MyCall- 
backHandler. Quest'ultima sara implementata rispetto a quella vista in 
precedenza. Una volta autenticato I'utente vengono stampati i suoi prin- 
cipal: 

package net.ioprogrammo.javasecurity.cap3; 
import javax.security.auth. login. LoginContext; 
import javax.security.auth. login. LoginException; 
public class EsempioLogin3 { 

public static void main( String!] args ) 

throws LoginException { 
LoginContext Ic = new LoginContext("ioProgrammo", 

new MyCallbackHandlerO); 

lc.login(); 

System. out.println("autenticazione positiva! "); 
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System.out.println( lc.getSubject().getPrincipals() ); 

} 

} 

il file di configurazione della sicurezza utilizzato per eseguire 

il programma precedente, chiamato jaas_1 .config, e il seguente: 
ioProgrammo { 

net.ioprogrammo.javasecurity.cap3.UserPasswordLoginlVlodule 

required debug=true; 

}; 

il modulo di login ora impostato e UserPasswordLoginModule, illustrate 
nel listato seguente. Questa classe implementa I'interfaccia LoginModu- 
le, che richiede I'implementazione di alcuni metodi: 
public void initialize (Subj ect subject, Call- 
backHandler handler, Map sharedState, Map op- 
tions ) . Inizializza il modulo, passando I'oggetto Sub j ect da valo- 
rizzare ed indicando I'handler da impiegare per dialogare con I'utente. 
Le due Map individuano una serie di proprieta condivise, che modellano 
lo state del modulo e le opzioni specificate nel file di configurazione. In que- 
sto caso sara presente un elemento con chiave "debug" e valore true; 
public boolean login (). Esegue le operazioni di login, even- 
tualmente utilizzando I'handler per richiedere informazioni all'utente. Ri- 
torna true se I'autenticazione e andata a buon fine, altrimenti false. 
Puo sollevare I'eccezione LoginException nel caso di problemi, ad 
esempio se il callback non e state impostato o se le opzioni specificate so- 
no in contrastotra di loro; 

public boolean commit (). Questo metodo si comporta diver- 
samente in funzione deU'esito dell'autenticazione. In caso di verifica po- 
sitiva, associa credenziali e principal all'utente; in caso negativo reimpo- 
sta lo state del modulo. Puo sollevare I'eccezione LoginException 
nel caso di problemi; 

public boolean abort () .Termina il processo di autenticazio- 
ne, reimpostando lo state del modulo. Puo sollevare I'eccezione Logi- 
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nException nel caso di problemi; 

public boolean logout (). Esegue la disconnessione dell'u- 
tente, reimpostando lo stato del modulo. Pud sollevare I'eccezione Lo- 
ginException nel caso di problemi; 

il modulo userPasswordLoginModule e dichiarato come segue: 

package net.ioprogrammo.javasecurity.cap3; 

import java.io.lOException; 

import java.security.Principal; 

import java.util. Map; 

import javax.security.auth. Subject; 

import javax.security.auth.callback.Callback; 

import javax.security.auth. callback.CallbackHandler; 

import javax.security.auth. callback.NameCallback; 

import javax.security.auth. callback.PasswordCallback; 

import javax.security.auth. callback.UnsupportedCallbackException; 

import javax.security.auth. login. LoginException; 

import javax.security.auth. spi.LoginModule; 

public class UserPasswordLoginModule implements LoginModule { 

private Subject subject; 

private CallbackHandler handler; 

private Map sharedState; 

private Map options; 

/** nome utente collegato */ 

String username; 

/** principal dell'utente */ 

Principal testPrincipal; 

public UserPasswordLoginModule() { 

} 

I'attributo username e utilizzato per memorizzare il nome dell'utente, 
mentre il Principal testPrincipal per contenere il principal che verra 
associato all'utente. Gli attributi privati sono utilizzati per contenere i pa- 
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rametri di chiamata, ottenuti tramite la chiamata initialize ( ) : 

/*** ©see javax.security.auth.spi.LoginModule# */ 
initialize(javax.security.auth. Subject, 

* javax.security.auth.callback.CallbackHandler, 

* java.util.Map, java.util.Map) 

*/ 

public void initialize(Subject subject, 

CallbackHandler handler, 

Map sharedState, Map options) { 
System.out.println(" initialized "); 
this.subject = subject; 
this.handler = handler; 
this.sharedState = sharedState; 
this.options = options; 

} 

il metodo login ( ) per prima cosa crea due element! Callback, uno 
per la richiesta del nome utente ed uno per la richiesta della password. Un 
array con questi due elementi e poi passato all'handler: sono le informa- 
zioni richieste all'utente per ottenere I'autenticazione. II metodo hand- 
le ( ) pud sollevare una iOException nel caso di errore di accesso 
ai dati oppure un UnsupportedCallbackException nel caso 
che il callback handler personalizzato non supporti uno dei callback ri- 
chiesti. Se ad esempio il callback MyCallbackHandler che utiliz- 
zeremo non e in grado di supportare un NameCallback, viene gene- 
rate un errore. Dopo la chiamata al metodo handle ( ) e possibile in- 
terrogate i singoli oggetti Callback per ottenere le informazioni for- 
nite dall'utente, in questo caso nome utente e password. Per questioni 
di sicurezza, la password efornita dalla classe PasswordCallback 
come array di caratteri, facilmente convertibile in stringa utilizzando il co- 
struttore della classe string. 

II metodo login ( ) ritorna true se il nome utente corrisponde a "max" 
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e la parola chiave "password". Ovviamente i moduli di autenticazione 
reali dovrebberoverificare la corrispondenza di utente/password con si- 
stemi piu ingegnosi, come I'accesso ad LDAP, oppure con unWeb Servi- 
ce. 

/*** ©see javax.security.auth.spi.LoginModule#login()*/ 
public boolean login() throws LoginException { 
System.out.println("login()"); 
if (handler == null) { 
throw new LoginExceptionfhandler non disponibile"); 

} 

Callback!] callbacks = new Callback[2]; 
callbacks[0] = new NameCallback("utente: "); 
callbacks[1] = 

new PasswordCallback("password: ".false); 

try { 

handler.handle(callbacks); 
} catch (lOException e) { 

throw new LoginExceptionfErrore di login (" + 
e.getMessage() + ")"); 
} catch (UnsupportedCallbackException e) { 

throw new LoginExceptionfErrore di login (" + 
e.getMessage() + ")"); 

} 

username = 

((NameCallback)callbacks[0]).getName(); 
char[] tmpPassword = 

((PasswordCallback)callbacks[1]).getPassword(); 
String password = " "; 
if (tmpPassword != null) { 

password = new String(tmpPassword); 

} 
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//verifica delle credenziali confrontando con stringhe 
//fisse 

return "max".equals(username) && 
" password " .equals(password); 

} 

il metodo commit ( ) si occupa di terminare le operazioni di autentica- 
zione creando un principal da associare all'utente, sottoforma di ogget- 

tO TestPrincipal. 

Questo e inserito nell'elenco dei principal del soggetto, ma solo se non e 
gia presente. Viene inoltre reimpostato lo stato del modulo, assegnando 
a username il valore null. II metodo ritorna true, ad indicare il cor- 
retto completamento delle operazioni: 

/*** ©see javax.security.auth.spi.LoginModule #commit()*/ 
public boolean commit() throws LoginException { 
System.out.println( " commit() "); 
testPrincipal = newTestPrincipal( username ); 
if (!subject.getPrincipals().contains( 
testPrincipal )) { 
subject.getPrincipals().add( testPrincipal ); 

} 

username = null; 
return true; 

} 

II metodo abort ( ) , la cui semantica e stata descritta sopra, si limita a 
reimpostare lo stato del modulo e chiamare logout ( ) : 

/*** ©see javax.security.auth.spi.LoginModule#abort()*/ 
public boolean abort() throws LoginException { 

username = null; 

logout(); 
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return false; 

} 

il metodo logout ( ) , chiamato quando I'applicazione vuole discon- 
nettere il Subject, rimuove dai principal di quest'ultimo il principal ag- 
giunto in fase di login e reimposta lo stato del modulo. II metodo ritoma 

true: 

/*** ©see javax.security.auth.spi.LoginModule#logout()*/ 
public boolean logout() throws LoginException { 

subject.getPrincipals().remove( testPrincipal ); 

usemame = null; 

return true; 

} 

} 

Si conclude qui la classe UserPasswordLoginModule. A 
questo punto e arrivato il momento di vedere come e stata rea- 
lizzata TestPrincipal, la classe che rappresenta I'identita 
dell'utente in questo codice di prova. Sostanzialmente I'elemento 
principale che denota I'identita e il nome utente, che e acquisito 
dal costruttore e memorizzato nello stato dell'oggetto: 

package net.ioprogrammo.javasecurity.cap3; 

import java.security.Principal; 

public class TestPrincipal implements Principal { 

/** nome utente */ 

String username; 

/*** Crea un nuovo principal * ©param username*/ 
public TestPrincipal( String username ) { 
this.username = username; 

} 

il metodo getName(), che ritorna il nome di questo principal, non fa altro 
che restituire il nome utente precedentemente acquisito: 
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/*** @see java.security.Principal#getName() */ 
public String getName() { 
return username; 

} 



a questo punto, il codice principale per I'implementazione di un principal 
di base e conduso. Ovviamente, nel caso d'identita piu complesse, che 
coinvolgono certificati, sistemi distribuiti, directory di nomi, ed altri elementi 
piu complessi del solo nome utente, le informazioni gestite e la com- 
plessita del la classe sarebbero molto maggiori. E necessario ricordare 
pero che un principal e utilizzato nei moduli di login in modo particolare: 
viene inserito in una collezione. Questo obbliga chi implementa il princi- 
pal ad eseguire I'override dei due metodi equals () ed hashCo- 
de ( ) , indispensabili al corretto funzionamento delle classi relative alle 
strutture dati all'interno della piattaforma Java. II primo di questi due me- 
todi permette di eseguire un confronto "di contenuti" tra due oggetti. 
Ad esempio, si consideri un oggetto Persona dotato delle due proprieta 
nome e cognome, di tipo String. Per dire che un oggetto di tipo Per- 
sona e uguale ad un altro e necessario confrontare i due nomi ed i due 
cognomi: e la stessa persona se entrambe le stringhe coincidono. II di- 
scorso e similare per il metodo hashCode ( ) , che ritorna un numero uni- 
voco che identifica il singolo oggetto: cio e indispensabile alle strutture da- 
ti della piattaforma Java, che utilizzano questa informazione per distinguere 
i singoli oggetti memorizzati.Nella classe TestPrincipal I'imple- 
mentazione di questi due metodi e basilare., In pratica si riconduce all'u- 
tilizzo degli stessi metodi presenti nell'unico elemento che differenzia un 
TestPrincipal da un altro: lo username. 
Nel caso del metodo equals ( ) , infatti, si effettua solamente il con- 
trollo sull'oggetto da confrontare che deve essere del tipo corretto, poi il 
valore di ritorno e semplicemente il risultato della chiamata ad equals ( ) 
sul nome del principal: 



/*** override */ 



I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



JAVA 

HACKING E 5ICUREZZA 



Autenticazione 



Capitolo 3 



public boolean equals( Object o ) { 
if (o instanceof TestPrincipal ) { 
TestPrincipal tp = (TestPrincipal)o; 

return tp.getName().equals( getName() ); 

} 

return false; 

} 

anche il metodo hashCode ( ) funziona per delega, e ritoma semplicemente 
il codice hash del nome del principal: 

/*** override */ 

public int hashCode() { 

return getName().hashCode(); 

} 

conclude I'implementazione della classe TestPrincipal la ridefi- 
nizione del metodo toString ( ) , che ha lo scopo di fornire una rap- 
presentazione descrittiva del contenuto dell'oggetto. Questo metodo e 
utile per avere piu informazioni quando si stampa un oggetto di questo 
tipo, ad esempio attraverso un System . out . pr intln ( ) . In questo 
caso I'implementazione di toString ( ) contiene solo il nome della 
classe ed il valore della proprieta username: 

/*** override */ 

public String toStringO { 

return getClass().getName() + 

"=[username=" + username + "]"; 

} 

} 

Ora che il modulo di login ed il relativo principal sono implementati, la 
parte di gestione dell'autenticazione e completa. Manca pero ancora un 
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elemento per fare si che il programma di test illustrate all'inizio funzioni. 
E necessario implementare opportunamente la classe MyCall- 
backHandler, gestendo i callback che sono richiesti da userPas- 
swordLoginModule. Nel definire quest'ultima classe, infatti, si e 
scelto di richiedere all'utente il nome utente e la password. L'handler da 
utilizzare con questo esempio dovra dunque supportare queste due ri- 
ch ieste. 

Nota: Nei primi esempi di questo capitolo, relativi all'autenticazio- 
ne Unix, il callback non eseguiva alcuna operazione, in quanta que- 
sto modulo di login e in grado di ottenere le credenziali dell'utente 
al momenta connesso senza interagire in alcun modo con I'utente. 

Questa nuova versione di MyCallbackHandler e dichiarata come 
segue: 

package net.ioprogrammo.javasecurity.cap3; 

import java.io.BufferedReader; 

import java.io.lOException; 

import java.io.lnputStreamReader; 

import javax.security.auth.callback.Callback; 

import javax.security.auth.callback.CallbackHandler; 

import javax.security.auth.callback.NameCallback; 

import javax.security.auth.callback.PasswordCallback; 

import 

javax.security.auth.callback.UnsupportedCallbackException; 
class MyCallbackHandler implements CallbackHandler { 
public MyCallbackHandlerO { 

} 

il metodo handle ( ) contiene le parti piu interessanti. Per prima cosa 
si crea un oggetto Buf f eredReader per leggere righe di testa dal- 
la console, poi viene iterate il vettore di callback e gestito ogni singolo 
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elemento. 

Se questo e di tipo NameCallback viene stampato il prompt attra- 
verso il metodo getPrompt ( ) ed impostato il nome tramite il meto- 
do setName ( ) . 

Nel caso di PasswordCallback viene stampato il prompt attra- 
verso il metodo getPrompt ( ) ed impostata la password tramite il 
metodo setPas sword ( ) , che si aspetta un vettore di caratteri: 



/*** ©see * javax.security.auth.callback.CallbackHandler# 
* handle(javax.security.auth.callback.Callback[]) */ 
public void handle(Callback[] callbacks) 

throws lOException, UnsupportedCallbackException { 
BufferedReader reader = 
(new BufferedReader 
(new InputStreamReader(System.in))); 
System. out.println( 

"numero callback: " + callbacks.length ); 
for (int i = 0; i < callbacks.length; i++) { 
if (callbacks[i] instanceof NameCallback) { 
NameCallback nc = (NameCallback)callbacks[i]; 
System.out.print( nc.getPrompt() ); 
nc.setName( reader.readLine() ); 
} else if (callbacks[i] instanceof 
PasswordCallback) { 
PasswordCallback pc = 

(PasswordCallback)callbacks[i]; 
System.out.print( pc.getPrompt() ); 
pc.setPassword( reader.readLine().toCharArray() ); 



} 

} 

} 
} 



78 



I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



Capitolo 3 



Autenticazione 



A questo punto tutto il codice e stato realizzato. Eseguendo il program- 
ma ed impostando il file di configurazione illustrate sopra si ottiene il se- 
guente output (in grassetto il teste digitate dall'utente): 

initialize)) 
loginO 

numero callback: 2 
utente: max 
password: password 
commitO 

autenticazione positiva! 

[net.ioprogrammo.javasecurity.cap3.TestPrincipal=[username=max]] 

L'ultima riga dell'output evidenzia il principal ottenuto ed osservandone 
il contenuto, si vede che vengono stampate esattamente le informazioni 
specificate nel metodo toString ( ) . 

II codice descritto viene eseguito da JAAS in una sequenza precisa, come 
si puo vedere in figura 2. 1 passaggi sono i seguenti: 

1 ) alia creazione di LoginContext viene passato un nuovo og- 
gettO MyCallbackHandler; 

2) oginContext determina, grazie al file di configurazione, il no- 
me del modulo di login da utilizzare, e lo instanzia; 

3) II codice client chiama il metodo login ( ) su LoginContext ; 

4) LoginContext chiama login ( ) SU UserPasswordLo- 
ginModule; 

5) userPasswordLoginModule in risposta ritorna un array di 
callback; 

6) LoginContext chiede a MyCallbackHandler di gestire que- 
sti callback; 

7) Se tutto va bene, LoginContext chiama commit () SU User- 
PasswordLoginModule; 

8) UserPasswordLoginModule crea dunque il principal Test- 
Principal che viene associate al soggetto (quest'ultima ope- 
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razione non e mostrata in figura); 
9) II codice client richiama il Sub j ect e da questo i principal. 

FORMATO DEL FILE Dl 
CONFIGURAZIONE 

Fino ad ora abbiamo visto alcuni file di configurazione dei moduli di sicurezza 
di JAAS molto semplici. Per prima cosa si noti che il formato di questi fi- 
le, ed il fatto stesso che vengano utilizzati file di testo e un elemento spe- 
cifico deH'implementazione di riferimento di SUN. In realta il formato ef- 
fettivo e in funzione del la specifica implementazione della classe ja- 
vax . security . auth . login . Configuration. Conoscere 
pero il formato di questo file e indispensabile, non solo per sperimentare 
con I'implementazione di SUN, ma perche molto probabilmente le diver- 
se versioni di Java che si potranno incontrare in future condivideranno 
con I'SDK di SUN il formato di questo file. II fatto di effettuare modifiche, 
risulta essere oneroso per le aziende e la tendenza e quella di cambiare 
qualche aspetto della piattaforma solo se indispensabile. II contenuto del 
file di configurazione e un elenco di elementi, ciascuno dei quali compo- 
sto da una struttura fissa: 

<nome utilizzato daH'applicazione> { 
<modulo login> <flag> <opzioni>; 
[altro modulo] [flag] [opzioni]; 
[altro modulo] [flag] [opzioni]; 

} 

il nome utilizzato dall'applicazione, negli esempi precedenti era "ioProgrammo". 
Si noti che e obbligatoria la presenza di almeno uno dei moduli di login, 
ma che ne possono essere presenti diversi. Ogni riga e terminata da pun- 
to evirgola. 

Ad esempio, in precedenza e stato utilizzato questo file di configurazio- 
ne: 
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ioProgrammo { 

net.ioprogrammo.javasecurity.cap3.UserPasswordLoginModule 

required debug=true; 

}; 

i singoli elementi di configurazione sono: 

modulo login. Specifica un oggetto che implementa I'interfaccia 
LoginModule, scelto tra quelli presenti in JAAS, come jndi- 
LoginModule, KeyStoreLoginModule, Krb5Login- 
Module, NTLoginModule od UnixLoginModule oppure 
tra quelli implementati da terze parti o dallo sviluppatore; 
flag. Pud assumere i valori "required", "requisite", "sufficient" od 
"optional". Nel primo caso e indispensabile che I'autenticazione 
tramite questo modulo vada a buon fine; ad ogni modo, I'autenti- 
cazione prosegue con gli altri moduli presenti in lista. "requisite" e 
simile a "required", ma se I'autenticazione fallisce il controllo ritor- 
na immediatamente all'applicazione. Nel caso di "sufficient", se 
I'autenticazione va a buon fine il controllo ritorna immediatamen- 
te all'applicazione, contrariamente il sistema prosegue con gli altri 
moduli configurati. I moduli "optional" non sono obbligatori: sia 
che I'autenticazione vada a buon fine o fallisca, il processo conti- 
nua con gli altri moduli della lista; 

opzioni. E una lista di opzioni per il modulo separata da spazi che 
viene passata direttamente al modulo sottostante. Ogni opzione e 
espressa come coppia chiave/valore separati da uguale. Ad esempio 
"debug=true"; 

le opzioni possono essere utilizzate per fornire elementi di configurazio- 
ne al modulo. Ad esempio, jndiLoginModule richiede due opzioni 
per conoscere il nome ed il gruppo a cui accedere. Ad esempio, per con- 
nettersi ad un server LDAP e necessario specificare i due parametri in mo- 
do simile al seguente: 

I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



JAVA 

HACKING E 5ICUREZZA 



Autenticazione 



Capitolo 2 



user.provider.url="ldap://ldap.ioprogrammo.net:389/ou=People, 

o=Master,c=it"group.provider.url= 
Idap:// ldap.ioprogrammo.net:389/ou=Groups,o=Master,c=it" 
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AUTORIZZAZIONE 

Un altro elemento fondamentale presente nelle API JAAS, come visto nel 
capitolo precedente, e la gestione dell'autorizzazione. Una volta autenti- 
cato I'utente, il sistema si e solo assicurato che un certo soggetto ha le cre- 
denziali corrette per accedere al sistema. A questo punto interviene il pro- 
filo di autorizzazione, che identifica quali delle funzionalita che possono 
avere impatti sulla sicurezza possono essere eseguite dall'utente. 
II meccanismo di'autorizzazione si basa sull'architettura descritta nel ca- 
pitolo 2, in particolare sui file delle politiche di sicurezza e sui permessi. 
Ma I'architettura di base di Java e studiata per gestire permessi ed abili- 
tazioni sui codice e non sulla base degli utenti. La parte di'autorizzazio- 
ne di JAAS estende queste funzionalita permettendo di operare sulla ba- 
se dell'utente, invece che sulla base del codice. Per fare in modo che il si- 
stema applichi I'autorizzazione JAAS e necessario seguire i seguenti pas- 
saggi: 

- autenticare I'utente come descritto nel capitolo precedente; 

- configurare i file di politica della sicurezza includendo i principal del- 
l'utente; 

- I'utente autenticato deve essere associato al contesto di sicurezza cor- 
rente. 

Se il primo passaggio e stato ampiamente descritto nel capitolo precedente, 
gli altri due saranno illustrati nei paragrafi successivi. 

CONFIGURAZIONE DELLE POLITICHE 

Come si ricordera (capitolo 2), un file di politiche include una serie di ele- 
menti grant, ciascuno dei quali definisce una serie di permessi per uno 
specifico insieme di codice o principal. La sintassi completa dell'elemen- 
to grant e la seguente: 

grant [SignedBy "signerjiames"] [, CodeBase "URL"] 
[.Principal [principal_class_name] "principaLname"] 
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[, Principal [principal_class_name] "principal_name"] ... { 
permission permission_class_name [ "target_name" ] 

[, "action"] [, SignedBy "signerjiames"]; 
permission ... 



per utilizzare I'autorizzazione di JAAS e necessario includere nel proprio 
file di politiche elementi grant che includano uno o piu principal. Includere 
questi elementi nel file di politiche significa che I'utente o I'entita rap- 
presentata dal principal specificate che sta eseguendo il codice indicate 
ha i permessi specificati. 

II parametro " Principal " e seguito dal nome complete di package della clas- 
se che implementa il principal ed il nome. Ad esempio: 

Principal sampiaprincipaLSamplePrincipal-testUser" 

Oppure, richiamando le classi e gli esempi del capitolo precedente: 

Principal net.ioprogrammo.javasecurity,ap3.TestPrincipal "max" 

E possibile includere piu principal nella stessa grant, ma in questo caso i 
permessi sono concessi solo se il soggetto associate al contesto attuale 
di controllo di accesso contiene tutti i principal specificati. 

Per concedere lo stesso insieme di permessi a diversi principal e necessario 
creare piu elementi grant nel file delle politiche di sicurezza ed in ognu- 
no elencare i permessi da concedere. Ciascun grant dovra specificare un 
singolo campo principal tra quelli da abilitare. 

Vediamo ora una serie di esempi di utilizzo del parametro Principal nella 
concessione dei permessi di accesso. Nell'istruzione seguente, viene con- 
cesso al principal TestPrincipal chiamato max di leggere i file con 
estensione .tmp e leggere le proprieta che iniziano per user: 
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grant 

Principal net.ioprogrammo.javasecurity.cap3.TestPrincipal "max" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 

java.util.PropertyPermission "user.*"; 

}; 

per concedere gli stessi permessi a Fabio, Elisa e Daniele, e necessario 
scrivere: 

grant 

Principal net.ioprogrammo.javasecurity.cap3.TestPrincipal "max" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 

java.util.PropertyPermission "user.*"; 

}; 

grant 

Principal net.ioprogrammo.javasecurity.cap3.TestPrincipal "fabio" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 

java.util.PropertyPermission "user.*"; 

}; 



grant 

Principal net.ioprogrammo.javasecurity.cap3.TestPrincipal "elisa" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 
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java.util.PropertyPermission "user.*"; 

}; 

grant 

Principal net.ioprogrammo.javasecurity.cap3.TestPrincipal "daniele" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 

java.util.PropertyPermission "user.*"; 



se invece si vuol concedere i due permessi sopra descritti solo agli uten- 
ti che abbiano TestPrincipal max e che abbiano anche UnixPrincipal max 
e necessario scrivere: 

grant Principal 
net.ioprogrammo.javasecurity.cap3.TestPrincipal "max" 
Principal com.sun.security.auth.UnixPrincipal "max" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 

java.util.PropertyPermission "user.*"; 

}; 

in questo caso i due permessi sono concessi all'utente autenticato come 
"max" dal sistema operativo (che owiamente deve essere un tipo di Unix) 
e dal modulo di autenticazione UserPasswordLoginModule. 
Maggiori dettagli su UserPasswordLoginModule sono stati descritti nel ca- 
pitolo precedente. 

AZIONI PRIVILEGIATE 

Ogni porzione di codice che esegue un accesso ad una risorsa critica dal 
punto di vista della sicurezza puo essere raccolta all'interno di una azio- 
ne, una semplice classe Java che implementa I'interfaccia PrivilegedAction. 
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Questa interfaccia definisce solo il metodo: 
public Object run(); 

ad esempio, la classe seguente implementa una azione privilegiata: 
public class TestAction implements PrivilegedAction { 
public Object run() { 

//codice critico 

return null; 




per eseguire questa azione si possono utilizzare i due metodi statici 
doAs() edoAsPrivilegedO definiti nella classe Subject. Ad 
esempio: 



Subject.doAs( currentSubject, new TestActionO ); 

il primo parametro della chiamata e I'oggetto di tipo Subject che e stato 
autenticato in precedenza tramite JAAS. II metodo doAs() associa il Subject 
fornito al contesto di sicurezza corrente ed invoca il metodo run() pre- 
sente nella classe che definisce I'azione. L'azione dunque viene esegui- 
ta sotto le "spoglie" dell'utente indicate. 

II metodo doAsPrivileged() e molto simile a doAs{), ma si aspetta un ter- 
zo parametro, di tipo AccessControlContext. Se viene passato nullo, vie- 
ne create un nuovo contesto di sicurezza ed associate al Subject. 

II funzionamento dei metodi doAs() e doAsPrivileged() e molto simile. La 
differenza sostanziale e che il primo accede all'oggetto AccessControl- 
Context collegato al thread di esecuzione corrente, mentre il secondo 
permette di utilizzare quello specificate dal programmatore. Un oggetto 
AccessControlContext mantiene i dati a proposito del codice eseguito da 
quando e stato istanziato, inclusa la posizione del codice ed i permessi con- 
cessi dalla politica in uso. L'utilizzo di doAsPrivileged() puo essere utile in 
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ambienti multiutente, in modo da utilizzare un contesto di sicurezza diverso 
per ciascun utente. Negli esempi che seguono e stato utilizzato doAsPri- 
vileged() per partire da un contesto di sicurezza vuoto, in quanta quello 
corrente assumeva dei privilegi inferiori a quelli che si desiderava conce- 
dere con i file di politica forniti. 

UN ESEMPIO CONCRETO 

Nel codice seguente sara utilizzata la gestione deH'autorizzazione di JAAS 
per eseguire due azioni distinte: la prima si occupa di stampare il conte- 
nuto della variabile di sistema user.home, mentre la seconda stampa il con- 
tenuto di java.home. 

Ciascuna di queste attivita e codificata come un'azione diversa. 
La prima azione e implementata dalla classe PrintUserHomeAc- 
tion, che come si vede e composta da una semplice chiamata a Sy- 
stem, get Property ( ) e da System . out .print In () : 

package net.ioprogrammo.javasecurity.cap4; 
import java.security.PrivilegedAction; 
/*** ©author max */ 

public class PrintUserHomeAction implements PrivilegedAction { 
/*** @see java.security.PrivilegedAction#run() */ 
public Object run() { 

System.out.println( "user.home=" + 

System.getProperty(" user.home") ); 
return null; 

} 

} 

la seconda azione e implementata in Print JavaHomeAction, che 
e molto simile alia classe precedente: 



package net.ioprogrammo.javasecurity.cap4; 
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import java.security.PrivilegedAction; 
/*** ©author max */ 

public class PrintlavaHomeAction implements PrivilegedAction { 
/*** ©see ja va .security. Pri vi leged Action#ru n () */ 
public Object run() { 

System.out.println( "java.home=" + 

System.getPropertyC'java.home") ); 
return null; 




I'esecuzione di queste due azioni e affidata alia classe EsempioA- 
zioneUnix, che ha la caratteristica di utilizzare I'autenticazione Unix 
per verificare le credenziali dell'utente. Come negli esempi gia prece- 
dentemente illustrati, la login avviene sull'elemento di configurazione 
"ioProgrammo". II CallbackHandler passato e implementato da 
una classe anonima, che non effettua azioni. II modulo di autenticazione 
basato su Unix infatti non prevede alcuna interazione con I'utente. Una 
volta autenticato, vengono stampate alcune informazioni sui principal e 
le credenziali dell'utente, a solo scopo di debug. Al termine del metodo main ( ) 
sono presenti, infine, le due chiamate ai metodi doAsPrivileged ( ) 
utilizzate per invocare le due azioni. 

package net.ioprogrammo.javasecurity.cap4; 

import java.io.lOException; 

import javax.security.auth.Subject; 

import javax.security.auth.callback.Callback; 

import javax.security.auth.callback.CallbackHandler; 

import javax.security.auth.callback.UnsupportedCallbackException; 

import javax.security.auth. login. LoginContext; 

import javax.security.auth. login. LoginException; 



/*** ©author max*/ 
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public class EsempioAzioneUnix { 

public static void main( String[] args ) 
throws LoginException { 

LoginContext Ic = 

new LoginContext("ioProgrammo", 
new CallbackHandler() { 

public void handle(Callback[] callbacks) 
throws lOException, 
UnsupportedCallbackException { 
System.out.println( callbacks ); 

} 

}); 

lc.login(); 

System.out.printlnfautenticazione positiva! "); 
Subject subject = Ic.getSubjectO; 
System.out.print("principal="); 
System.out.println( subject.getPrincipalsO ); 
System.out.print("credenziali pubbliche= "); 
System.out.println( subject.getPublicCredentials() ); 
System.out.print("credenziali private="); 
System.out.println( subject.getPrivateCredentialsO ); 
Subject.doAsPrivileged(subject, 

new PrintUserHomeActionO, null); 
Subject.doAsPrivileged(subject, 

new PrintJavaHomeAction() : null); 

} 

} 

il codice viene eseguito utilizzando file di configurazione JAAS e politi- 
che di sicurezza opportunamente impostate. Per fare in modo che siano 
utilizzati i file di configurazione voluti si ricordi di impostare le seguenti op- 
zioni all'esecuzione del codice: 
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-Djava.security.auth.login.config==jaas.config -Djava.security.manager 
-Djava.security.policy==unixauth.policy 

il contenuto del file jaas.config e il seguente: 

ioProgrammo { 

com.sun.security.auth.module.UnixLoginModule required debug=true; 

}; 

come possiamo vedere, indica di utilizzare il modulo di login per I'acces- 
so all'autenticazione Unix. II file unixauth. policy e invece leggermente 
piu complesso, in quanta specifica due istruzioni grant. La prima conce- 
de i permessi per operare con le classi ed i metodi di autenticazione. In par- 
ticolare fornisce i diritti di accesso ai metodi getSub j ect ( ) e doA- 
sPrivileged ( ) . Inoltre garantisce la possibility di creare un Lo- 
ginContext collegato alia configurazione ioProgrammo. La seconda 
istruzione grant e invece relativa ai permessi concessi all'esempio in og- 
getto. In particolare si noti che la grant e legata al principal com. sun . se- 
curity . auth . UnixPrincipal, ed in particolare al valore "max", 
il permesso concesso e invece relativo a tutte le proprieta che iniziano 
per "user". 

grant { 

permission 

javax.security.auth.AuthPermission 

"createLoginContext.ioProgrammo"; 
permission 

javax.security.auth.AuthPermission "getSubject"; 
permission 

javax.security.auth.AuthPermission "doAsPrivileged"; 

}; 

grant 

Principal com.sun.security.auth. UnixPrincipal "max" { 
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permission 

java.util.PropertyPermission "user.*", "read"; 

}; 

quest'ultima grant garantisce sostanzialmente I'accesso alle proprieta di 
sistema che iniziano per "user" a tutti gli utenti che si connettono al si- 
stema con username "max". In pratica un utente solo. Ovviamente e an- 
che possibile specificare la classe UnixNumericGroupPrinci- 
pal ed indicare un codice di gruppo. In questo caso I'abilitazione sara con- 
cessa a tutti gli utenti Unix inseriti nel gruppo specificato. 
Eseguendo il codice si ottiene un output simile al seguente: 



autenticazione positiva! 

principal=[UnixPrincipal: max, UnixNumericUserPrincipal: 501, 
UnixNumericGroupPrincipal [gruppo primario]: 501, 
UnixNumericGroupPrincipal [gruppo supplementare]: 79, 
UnixNumericGroupPrincipal [gruppo supplementare]: 80, 
UnixNumericGroupPrincipal [gruppo supplementare]: 81] 
credenziali pubbliche=[] 
credenziali private=[] 
user.home=/Users/max 

Exception in thread "main" java.security.AccessControlException: access 

denied (java.util.PropertyPermission java.home read) 

at java.security.AccessControlContext.checkPermission( 

AccessControlContext.java:269) 

at java.security.AccessController.checkPermission( 

AccessController.java:401 ) 

at java.lang.SecurityManager.checkPermission(SecurityManager.java:524) 

at java.lang.SecurityManager.checkPropertyAccess( 
SecurityManager.java:1 276) 
at java.lang.System.getProperty(5ystem.java:573) 
at net.ioprogrammo.javasecurity.cap4.PrintlavaHomeAction.run( 
PrintlavaHomeAction.java:20) 
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at java.security.AccessController.doPrivileged(Native Method) 
at javax.security.auth.Subject.doAsPrivileged(Subject.java:437) 
at net.ioprogrammo.javasecurity.cap4.EsempioAzioneUnix.main( 
EsempioAzioneUnix.java:42) 

Si vede che il sistema concede I'accesso alia proprieta "user.home" , ed 
il relativo valore e correttamente stampato. II tentativo di accesso a "ja- 
va.home", invece, fallisce, in quanta non e presente nessuna grant nel 
file di politiche che concede questa possibility 

UTILIZZARE UN MODULO 
PERSONALIZZATO 

A questo punto e interessante provare il meccanismo di autorizzazione an- 

che congiuntamente all'utilizzo di moduli di login personalizzati, come 

quello implementato nel capitolo precedente. 

Per fare questo e stata realizzata la classe EsempioAzioneUser- 

Password, che e identica ad EsempioAzioneUnix, con la diffe- 

renza che il CallbackHandler e implementato da MyCall- 

backHandler e che i prof i I i di sicurezza sono diversi. 

II codice di EsempioAzioneUserPassword e il seguente: 

package net.ioprogrammo.javasecurity.cap4; 
import javax.security.auth.Subject; 
import javax.security.auth. login. LoginContext; 
import javax.security.auth.login.LoginException; 
import net.ioprogrammo.javasecurity.cap3.MyCallbackHandler; 
/*** ©author max */ 
public class EsempioAzioneUserPassword { 
public static void main( String!] args ) 

throws LoginException { 
LoginContext Ic = 

new LoginContext(" ioProgrammo ", 

new MyCallbackHandlerO); 
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Ic.loginO; 

System.out.println("autenticazione positiva! "); 
Subject subject = Ic.getSubjectO; 
System.out.print("principal=" ); 
System.out.println( subject.getPrincipalsO ); 
System.out.print("credenziali pubbliche= "); 
System.out.println( subject.getPublicCredentials() ); 
System.out.print("credenziali private="); 
System.out.println( subject.getPrivateCredentialsO ); 
Subject.doAsPrivileged(subject, 

new PrintUserHomeActionO, null); 
Subject.doAsPrivileged(subject, 

new PrintJavaHomeAction() : null); 

} 

} 

il codice viene eseguito pero con il seguente file di configurazione JAAS: 
ioProgrammo { 

net.ioprogrammo.javasecurity.cap3.UserPasswordLoginlVlodule 

required debug=true; 

}; 

e con il seguente file di politiche: 

grant { 

permission 

javax.security.auth.Auth Permission 

"createLoginContext.ioProgrammo"; 
permission 

javax.security.auth.AuthPermission "modifyPrincipals"; 
permission 

javax.security.auth.AuthPermission "getSubject"; 
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permission 

javax.security.auth.AuthPermission "doAsPrivileged"; 

}; 

grant 

Principal net.ioprogrammo.javasecurity.cap3.TestPrincipal "max" { 
permission 

java.io.FilePermission ".tmp", "read"; 
permission 

java.util.PropertyPermission "user.*", "read"; 
permission 

java.util.PropertyPermission "java.*", "read"; 

}; 

Esiste una leggera differenza tra questo file e quello utilizzato nel para- 
grafo precedente, soprattutto in merito alia seconda grant. II principal in 
USO ora e net . ioprogrammo . j avasecurity . cap3 . Test- 
Principal e non com. sun . security . auth . UnixPrin- 
cipal. Infatti si ricordera dal capitolo precedente, che il modulo di lo- 
gin userPasswordLoginModule restituisce principal di questo 
tipo. L'altro elemento distintivo e la presenza di un permesso per accedere 
alle proprieta di sistema che iniziano per java. 
L'esecuzione della classe EsempioAzioneUserPassword produce un out- 
put simile al seguente: 

initialize)) 
loginO 

numero callback: 2 
utente: max 
password: password 
commitO 

autenticazione positiva! 

principal=[net.ioprogrammo.javasecurity.cap3.TestPrincipal=[username=max]] 
credenziali pubbliche=[] 
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credenziali private=[] 
user.home=/Users/max 

java.home=/System/Library/Frameworks/JavaVM.framework/Versions/1 .4.2/ 
Home 

Questa volta tutte le azioni sono state completate correttamente. Anche 
I'accesso a "java.home" e quindi stato autorizzato, in accordo al file di po- 
litiche utilizzato. 

ALL'INTERNO DEL CODICE 
PRIVILEGIATO 

Abbiamo gia visto nei capitoli precedenti che cosa e il codice privilegia- 
to, perche e utile ed a cosa serve. Nel corso di questo capitolo abbiamo 
creato due azioni privilegiate che sono state eseguite, con e senza successo 
all'intemo di due contesti di sicurezza configurati in modo diverso. Ora ve- 
dremo meglio le implicazioni e le opportunity offerte dalle azioni privile- 
giate. 

Ritorniamo alle azioni utilizzate in precedenza. Ad esempio, Printu- 
serHomeAction si occupava di stampare su console il valore della 
proprieta "user.home": 

package net.ioprogrammo.javasecurity.cap4; 
import java.security.PrivilegedAction; 
/*** ©author max */ 

public class PrintllserHomeAction implements PrivilegedAction { 
/*** ©see java.secu rity. Pri vi legedAction#run () */ 
public Object runO { 

System.out.println( "user.home=" + 

System.getProperty(" user.home") ); 
return null; 

} 

} 
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in questo caso I'implementazione e molto semplice ed il metodo run ( ) , 
che ritorna un oggetto di tipo object, restituisce null. Ci sono altri 
casi dove e necessario restituire dei valori di ritorno. In questo caso e pos- 
sible utilizzare I'istruzione return, come nel caso dell'azione Re- 

turnUserHomeAction riportata qui: 

package net.ioprogrammo.javasecurity.cap4; 

import java.security.PrivilegedAction; 
/*** ©author max */ 

public class ReturnUserHomeAction implements PrivilegedAction { 
/*** @see ja va .security. Pri vi leged Action#ru n () */ 
public Object run() { 

return System.getPropertyfuser.home"); 

} 

} 

in questo caso il valore della proprieta viene restituito dal metodo run ( ) , 
e I'informazione arriva al chiamante dell'azione privilegiata, come si evin- 
ce dall'esempio seguente, una semplice variante della classe Esem- 
pioAzioneLinuxl: 

package net.ioprogrammo.javasecurity.cap4; 

import java.io.lOException; 

import javax.security.auth.Subject; 

import javax.security.auth.callback. Callback; 

import javax.security.auth.callback.CallbackHandler; 

import javax.security.auth.callback. UnsupportedCallbackException; 

import javax.security.auth.login.LoginContext; 

import javax.security.auth. login. LoginException; 

/*** ©author max */ 

public class EsempioAzioneUnixl { 

public static void main( String!] args ) 
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throws LoginException { 
LoginContext Ic = 

new LoginContext("ioProgrammo", 
new CallbackHandler() { 

public void handle(Callback[] callbacks) 
throws lOException, 
UnsupportedCallbackException { 
System.out.println( callbacks ); 




Ic.loginO; 

System.out.printlnfautenticazione positiva! "); 
Subject subject = Ic.getSubjectO; 
Object obj = 

Subject.doAsPrivileged(subject, 

new ReturnllserHomeActionO, null); 
if (obj instanceof String) { 

System.out.println("user.home=" + obj); 
} else { 

System .out. printl n( " errore " ); 

} 

} 

} 



come si nota osservando il codice, viene chiamata I'azione ReturnU- 
serHomeAction tramite il metodo doAs Privileged () . 
II valore di ritorno e memorizzato in una variabile di tipo object. Vie- 
ne poi controllato se questa e di tipo string: e sempre una buona idea 
eseguire un controllo sul tipo che ci si aspetta se la firma del metodo pre- 
vede un tipo di dato generico. Sicuramente Ob j ect e il tipo di dato piu 
generico possibile in Java, visto e che la superclasse di tutti gli oggetti! 
Se il valore ritornato e di tipo stringa, e stampato a console. In caso con- 
trario viene prodotto un messaggio di errore. L'output prodotto e simile al 



98 



I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



Capitolo 4 



Autorizzazione 



seguente: 

autenticazione positiva! 
user.home=/Users/max 

Un altro modo per ottenere informazioni da un'azione, soprattutto se 
non e una semplice stringa, ma magari sono molti campi, e quello di ar- 
ricchire I'implementazione di PrivilegedAction in modo da in- 
cludere attributi e metodi getter per otteneme i valori. Questo approccio 
ha anche il beneficio di ritomare dati tipizzati, e non semplici Ob j ect. 
La classe GetUserHomeAction e funzionalmente simile alle prece- 
dent, ma prevede il metodo getUserHome ( ) per ottenere la home 
dell'utente, che viene salvata neH'attributo userHome alia chiamata 
del metodo run ( ) : 

package net.ioprogrammo.javasecurity.cap4; 
import java.security.PrivilegedAction; 
/*** ©author max */ 

public class GetUserHomeAction implements PrivilegedAction { 
/** contiene la home dell'utente */ 
private String userHome = null; 
/*** Costruttore */ 
public GetUserHomeActionO { 

} 

/*** @see ja va .security. Pri vi leged Action#ru n () */ 
public Object run() { 

userHome = System.getPropertyC'user.home"); 

return null; 

} 

/*** ©return il valore della proprieta user.home */ 
public String getllserHomeO { 
return userHome; 

} 

I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



JAVA 

HACKING E SICUREZZA 



Autorizzazione 



Capitolo 4 



In questo modo il codice chiamante e in grado di interrogare direttamente 
la classe dell'azione per ottenere le informazioni volute, come illustrate in 
questa variante della classe EsempioAzioneUnix: 

package net.ioprogrammo.javasecurity.cap4; 

import java.io.lOException; 

import javax.security.auth.Subject; 

import javax.security.auth.callback.Callback; 

import javax.security.auth.callback.CallbackHandler; 

import javax.security.auth.callback.UnsupportedCallbackException; 

import javax.security.auth. login. LoginContext; 

import javax.security.auth. login. LoginException; 



public class EsempioAzioneUnix2 { 

public static void main( String!] args ) 
throws LoginException { 
LoginContext Ic = 

new LoginContext("ioProgrammo", 
new CallbackHandler() { 

public void handle(Callback[] callbacks) 
throws lOException, 
UnsupportedCallbackException { 
System.out.println( callbacks ); 

} 

}); 

lc.login(); 

System.out.println("autenticazione positiva! "); 
Subject subject = Ic.getSubjectO; 
GetUserHomeAction getAction = 



new GetUserHomeActionO; 
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System.out.println("user.home=" + 

getAction.getllserHomeO); 

} 

} 

Osservando il codice, questa volta si nota che e mantenuto un riferimen- 
to alia azione creata, in particolare nella variabile getAction. Questa 
e poi passata al metodo doAsPrivileged ( ) , ma il valore di ritorno 
ignorato. Infatti, se si osserva il listato precedente si nota che il metodo run ( ) 
ritorna semplicemente null. Per ottenere il dato viene infatti invocato 
il metodo GetUserHomeAction . getUserHome ( ) . 

L'ultimo esempio riguarda la gestione delle eccezioni. Pud capitare che, 
durante lo svolgimento delle attivita legate ad una specifica azione si 
possa verificare qualche anomalia, che dovrebbe essere segnalata al chia- 
mante utilizzando un'eccezione controllata. 
L'interfaccia PrivilegedAction definisce il metodo run ( ) senza 
eccezioni, quindi non e possibile specificare una clausola throws; al 
suo posto, in questi casi, deve essere impiegata l'interfaccia Privile- 
gedExceptionAction, che definisce il metodo run ( ) come se- 
gue: 



public Object run() throws Exception; 

Una azione che solleva una eccezione e illustrata nel listato seguente. 
L'azione ExistUserDocumentsAction dice se esiste la cartella dei 
documenti dell'utente, che per default si chiama Documents ed e sotto la 
home dell'utente. 

Nel caso la cartella non esista viene sollevata una eccezione di tipo Fi- 

leNotFoundException 

Naturalmente questo e solo un esempio: le eccezioni non dovreb- 
bero mai essere utilizzate per gestire il flusso di esecuzione in quan- 
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to rallentano il programma. In questo caso una soluzione piu 
performante sarebbe stata quella di ritornare semplicemente un og- 
getto Boolean con il risultato della chiamata a file . exi- 
sts () . 

package net.ioprogrammo.javasecurity.cap4; 
import java.io. File; 

import java.io.FileNotFoundException; 
import java.security.PrivilegedExceptionAction; 

I** 

* ©author max 

*/ 

public class ExistUserDocumentsAction 
implements PrivilegedExceptionAction { 

/*** @see java.security.PrivilegedAction#runO */ 
public Object runQ throws FileNotFoundException { 
File file = new File( 

System.getPropertyC'user.home") + 
File.separator + 
"Documents" ); 
if (!file.existsO) { 

throw new FileNotFoundExceptionf 

"la cartella dei documenti non esiste!"); 

} 

return null; 

} 

} 

Questa azione e richiamata dalla classe EsempioAzioneUnix3 che 
non fa altro che invocare I'azione all'interno di un blocco try/catch. L'ec- 
cezione intercettata e PrivilegedActionException, che e una 
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eccezione generica che funge da wrapper a quella effettivamente solle- 
vata dall'azione. 

Per ottenere la reale eccezione e sufficiente chiamare il metodo ge- 
tException() sulla variabile ex. 



package net.ioprogrammo.javasecurity.cap4; 

import java.io.lOException; 

import java.security.PrivilegedActionException; 

import javax.security.auth.Subject; 

import javax.security.auth.callback.Callback; 

import javax.security.auth.callback.CallbackHandler; 

import javax.security.auth.callback.UnsupportedCallbackException; 

import javax.security.auth. login. LoginContext; 

import javax.security.auth.login.LoginException; 

/*** ©author max */ 

public class EsempioAzioneUnix3 { 

public static void main( String!] args ) 
throws LoginException { 
LoginContext Ic = 

new LoginContext(" ioProgrammo ", 
new CallbackHandlerO { 

public void handle(Callback[] callbacks) 
throws lOException, 
UnsupportedCallbackException { 
System.out.println( callbacks ); 

} 

}); 

lc.login(); 

System.out.println("autenticazione positiva! "); 
Subject subject = Ic.getSubjectO; 
try { 

Subject.doAsPrivileged(subject, 
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new ExistUserDocumentsAction() : null); 
System.out.println( 

"la cartella dei documenti esiste! "); 
} catch( P ri vi I egedAct io n Excepti o n ex ) { 
ex.printStackTrace(); 

} 

} 



Nel caso la cartella dei documenti non esista, I'output prodotto e simile 
al seguente: 



autenticazione positiva! 

ja va .secu rity. Privi legedAction Exception : java.io.FileNotFoundException: 



at java.security.AccessController.doPrivileged(Native Method) 
at javax.security.auth.Subject.doAsPrivileged(Subject.java:500) 
at net.ioprogrammo.javasecurity.cap4.EsempioAzioneUnix3.main( 

EsempioAzioneUnix3.java:37) 
Caused by: java.io.FileNotFoundException: 

la cartella dei documenti non esiste! 
at net.ioprogrammo.javasecurity.cap4.ExistUserDocumentsAction.run( 

ExistUserDocumentsAction.java:28) 

... 3 more 

Si tenga presente che questa eccezione utilizza anche le funzionalita di ac- 
cesso ai file, dunque il profilo di sicurezza utilizzato per eseguire il codice 
include anche un permesso sui file. Per I'esattezza, il file delle politiche 
utilizzato e il seguente: 

grant { 



permission 
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"createLoginContext.ioProgrammo"; 
permission 

javax.security.auth.AuthPermission "getSubject"; 
permission 

javax.security.auth.AuthPermission "doAsPrivileged"; 

}; 

grant 

Principal com.sun.security.auth.UnixPrincipal "max" { 
permission 

java.io.FilePermission "/Users/max/Documents", "read"; 
permission 

java.util.PropertyPermission "user.*", "read"; 

}; 

si vede che e stato utilizzato il permesso j ava . io . FilePermission, 
che in questo caso, per semplicita, punta direttamente alia cartella cercata 
nel codice. 

Owiamente, se questo esempio viene eseguito da un utente che non si 
chiama "max" e necessario cambiare anche questo percorso. 
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CRITTOGRAFIA 

La prima implementazione di API per la sicurezza nella piattaforma 
Java risale alia versione 1.1 del linguaggio. Si chiamava Java 
Cryptography Architecture (JCA), ed era limitata alia gestione di firme 
digitali e ai message digest. Nelle versioni successive del la 
piattaforma questa architettura e stata notevolmente estesa, ad 
esempio per includere certificati X.509 e si e arricchita di tutti gli 
elementi di controllo a grana fine gia descritti. 

Nota: L'acronimo JCA e stato utilizzato anche in ambito J2EE per 
definire un'altra tecnologia, la Java Connector Architecture. Que- 
st'ultima non ha niente a che fare con la sicurezza: e relativa infatti 
all'integrazione di applicazioni e risorse esterne di tipo eterogeneo. 

Dalla versione 1.2 della piattaforma Java e disponibile un framework 
completo ed estensibile che implementa la crittatura, la generazione di chia- 
vi, il riconoscimento di chiavi (key agreement) ed algoritmi di autentica- 
zione dei messaggi (MAC, Message Authentication Code), chiamato Ja- 
va Cryptography Extension (JCE). 

II supporto alia crittatura include cifratori simmetrici, asimmetrici, a bloc- 
chiebasati su flussi. 

Sono inoltre supportati flussi sicuri ed oggetti sigillati: i primi saranno 
descritti nei capitoli successivi. 

Nota: In passato JCE era disponibile da parte di SUN come donw- 
load separata dalla piattaforma Java. II software legato alia cifratu- 
ra era infatti regolato dalle leggi statunitensi alia stregua di armi. 
Alcuni paesi non erano quindi autorizzati a scaricare ed utilizzare 
questo specifico pacchetto. Oggi le leggi in materia di cifratura dei 
dati sono state "rilassate" e quindi questo codice pud essere espor- 
tato verso tutti i paesi. Per semplicita e stato dunque integrate nel 
download principale della piattaforma Java. 
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QUALCHE TERMINE SPECIFICO 

Per capire meglio quanta esposto qui di seguito e utile definire alcuni ter- 
mini particolari. II framework di crittografia tratta di quei concetti legati al- 
ia sicurezza ed alia crittografia che si trovano in tutti i contesti, linguaggi 
e piattaforme che tengono questi aspetti in primaria considerazione. In par- 
ticolare, i termini con cui si avra a che fare sono legati ai seguenti concetti: 
crittazione e decrittazione. La crittazione e il processo che pre- 
vede in input le informazioni (clear text) ed una stringa corta (chia- 
ve). Inoltre produce informazioni senza significato (ciphertext) ad 
una terza parte sprowista della chiave. La decrittazione e il proces- 
so inverso; 

crittografia basata su password. La password based encryp- 
tion (PBE) deriva la chiave di crittografia da una password; per ren- 
dere meno agevole da un malintenzionato la scoperta della pas- 
sword, spesso a questa viene aggiunto un numero casuale (salt) per 
produrre la chiave; 

cifratore. E' il componente software che si occupa di eseguire la crit- 
tazione e la decrittazione, seguendo uno specifico algoritmo; 
riconoscimento di chiavi (key agreement). E' un protocollo 
che consente a due o piu parti di accordarsi per I'uso di chiavi di 
crittografia senza la necessita di scambiare informazioni segrete e sen- 
sibili; 

MAC (Message Authentication Code). Permette di verificare 
I'integrita delle informazioni trasmesse in rete o contenute su un 
media non sicuro utilizzando una chiave segreta.Tipicamente, que- 
sti algoritmi sono utilizzati da due parti per condividere una chiave 
segreta da utilizzare per validare le informazioni trasmesse tra loro. 

CARATTERISTICHE E FUNZIONALITA 

Le API di JCE sono modulari. Permettono quindi I'utilizzo del provider di 
sicurezza desiderata. In questo modo e possibile cambiare implementa- 
zione dei diversi algoritmi e cifratori senza modificare il codice. Un ap- 
proccio simile alle API XML, che permettono di scambiare il parser XML 
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a piacimento, oppure di JDBC, che sono indipendenti dal database. 

Le caratteristiche fondamentali di JCE sono le seguenti: 

e implementata in codice 100% Java, ed e quindi utilizzabile su 
qualsiasi piattaforma che dispone di un JRE. non si basa quindi su 
codice nativo; 

I'architettura supporta fornitori di servizi in forma di plug-in. E pos- 
sible dunque aggiungere tipologie di algoritmi e fornitori (che de- 
vono essere certificati, in modo che qualcuno ne garantisca I'affi- 
dabilita) in modo dinamico. 

file di politica che consentono di utilizzare crittografia forte ma con 
un limite (ad esempio sulla dimensione delle chiavi). 06, ancora 
una volta per aggirare limiti legislativi, ma questa volta legati alle leg- 
gi di importazione di alcuni Stati. Alcuni governi, infatti, non voglio- 
no che siano comunemente utilizzati schemi di crittografia troppo for- 
te, in quanta vogliono riservarsi la possibility di investigare il conte- 
nuto delle comunicazioni. In Italia, come in molti altri paesi, e pos- 
sible utilizzare la crittografia forte ed illimitata. Per attivare questa 
funzionalita (per default JCE e fornito con crittografia limitata) e ne- 
cessario scaricare dal sito di SUN I'opportuno file di politica. In Ci- 
na, I'investigazione delle comunicazioni da parte del govemo e co- 
sa comune. 



Nella versione 5.0 della piattaforma Java si trova, gia installato e configurato, 
il provider di sicurezza di SUN, chiamato "SunJCE". Questo provider of- 
fre i seguenti servizi: 

implementazione degli algoritmi di crittatura DES, Triple DES e Blow- 
fish nelle modalita Electronic Code Book (ECB), Cipher Block Chai- 
ning (CBC), Cipher Feedback (CFB), Output Feedback (OFB) e Pro- 
pagating Cipher Block Chaining (PCBC); 
generatori di chiavi utili al supporto degli algoritmi DES, Triple DES, 
Blowfish, HMAC-MD5 e HMAC-SHA1; 
un' implementazione deH'algoritmo di crittazione MD5 e DES-CBC 
basato su chiavi (PBE - Password based Encryption) definito in 
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PKCS #5; 

un' implementazione dell'algoritmo Diffie-Hellman di key agree- 
ment tra due o piu parti; 

un generatore di coppia di chiavi per la creazione di coppie di valo- 
ri pubblici e privati utili per I'uso con I'algoritmo Diffie-Hellman; 
un algoritmo di generazione parametri Diffie-Hellman; 
manager di parametri per gli algoritmi Diffie-Hellman, DES, Triple 
DES, Blowfish e PBE; 

un' implementazione degli algoritmi di hash basato su chiavi per 
HMAC-MD5 e HMAC-SHA1; 

un' implementazione degli schemi di riempimento descritti in PKCS 
#5; 

un' implementazione proprietaria di keystore chiamata JCEKS; 

Per sapere quali algoritmi sono implementati nel provider di sicurezza 
configurato e possibile interrogare i provider estraendone le singole pro- 
prieta. II listato seguente estrae I'elenco dei provider utilizzando la chia- 
mata Security . getProvider ( ) , che ritorna un array di ogget- 
ti Provider. Questo pud essere navigate per ottenere ciascun provi- 
der installato e da questo ottenere le proprieta con il metodo key- 
Set ( ) . I cifratori sono identificati dal fatto che la proprieta inizia per 
"Cipher": 



package net.ioprogrammo.javasecurity.cap5; 

import java.security.Provider; 

import java.security.Security; 

import java.util. Iterator; 

import java.util.Set; 

/** * ©author max */ 

public class ElencaAlgoritmi { 

public static void main(String[] args) { 

Provider!) providers = Security.getProvidersO; 

for (int i=0; kproviders.length; i++) { 
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Set keys = providers[i].keySetO; 
for (Iterator iter = keys.iterator(); 
iter.hasNext(); ) { 
String key = (String)iter.next(); 
if (key.startsWith("Cipher.")) { 
System.out.println(key); 

} 

} 




I'output prodotto e simile al seguente: 
Cipher.DES 

Cipher.PBEWithMD5AndTripleDES 
Cipher.AES 

Cipher.PBEWithMD5AndDES 

Cipher.Blowfish 

Cipher.DESede 

Per conoscere invece i generatori di chiavi simmetriche disponibili e ne- 
cessario verificare le proprieta che iniziano per "KeyGenerator": 

package net.ioprogrammo.javasecurity.cap5; 
import java.security.Provider; 
import java.security.Security; 
import java.util. Iterator; 
import java.util.Set; 
/** * ©author max */ 
public class ElencaGeneratoriChiavi { 
public static void main(String[] args) { 

Provider!] providers = Security.getProviders(); 
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for (int i=0; kproviders.length; i++) I 
Set keys = providers[i].keySet(); 
for (Iterator iter = keys.iterator(); 
iter.hasNextf); ) { 
String key = (String)iter.next(); 
if (key.startsWith("KeyGenerator.")) { 
System. out.println(key); 



} 



I'output del programma e simile al seguente: 



s 



KeyGenerator.DESede 
KeyGenerator.HmacSH.A1 
KeyGenerator.DES 
KeyGenerator.Blowfish 
KeyGenerator.AES 
KeyGenerator.HmacMD5 



CIFRATURA Dl BASE 

La crittatura con JCE awiene tramite un oggetto di tipo cipher, che si 
ottiene dalla stessa classe cipher tramite il metodo getinstan- 
ce ( ) . Questo metodo si aspetta come parametro il nome dell'algoritmo 
da utilizzare, che owiamente dovra essere implementato dal provider in- 
stallato in quel momento nel sistema. In alternativa e possibile richiede- 
re un cipher ad un altro provider, passando come secondo parametro 
un oggetto di tipo Provider, oppure il suo nome come stringa. 
II parametro di getinstance ( ) e denominato trasformazione, per- 
che oltre ad includere il nome dell'algorimo da utilizzare, pud includere an- 
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che ulteriori operazioni, come il modo e la logica di riempimento. II formato 
complete del parametro trasformazione e: 
algoritmo/modo/riempimento. 

Ad esempio, un algoritmo DES in modalita CFB senza riempimento puo 

essere specificate come segue: 

DES/CFB8/NoPadding 

Una volta create I'oggetto cipher e necessario inizializzarlo, utilizzan- 
doilmetodoinito. 

Questo e presente nella classe in diverse forme, ma il primo parametro e 
sempre la modalita, che puo essere scelta tra le diverse costanti definite 
nella classe cipher: 

decryptjviode. Inizializza il cifratore per decrittare; 
encrypt_mode. Inizializza il cifratore per crittare; 
unwrap_mode. Converte la chiave in un array di byte in modo 
che possano essere trasportati in modo sicuro; 
wrap_mode. Converte la chiave precedentemente convertita in 
array di byte in un oggetto di tipo j ava . security . Key; 

II secondo parametro del metodo init ( ) e la chiave da utilizzare per 
crittare i dati. Questo e un oggetto di tipo j ava . security . Key ot- 
tenuto da un KeyGenerator. 

Quest'ultimo e utilizzato per generare chiavi segrete per uno specifico al- 
goritmo. Per prima cosa e necessario ottenere un KeyGenerator spe- 
cifico ad un determinate algoritmo utilizzando il metodo getinstan- 
ce ( ) , a cui viene passata una stringa con il nome dell'algoritmo. Per ot- 
tenere una chiave e poi necessario chiamare il metodo generateKey ( ) , 
che ritorna un oggetto di tipo SecretKey. 
Quest'ultima e un tipo particolare di chiave, sottointerfaccia di Key. 

Nota: Da un oggetto KeyGenerator e possibile conoscere I'al- 
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goritmo configurate tramite il metodo getAlgorithm ( ) e sa- 
pere a che provider appartiene tramite il metodo getProvi- 
der ( ) . 

A questo punto e possibile operare la crittazione in una unica chiamata 
a metodo, in particolare a doFinal ( ) , oppure effettuarla a blocchi, 
tramite il metodo update ( ) . Se invece il cifratore e state inizializzato 
nelle modalita "wrap", e necessario richiamare i metodi wrap () ed 
unwrap ( ) . 

Nell'esempio seguente viene per prima cosa ottenuta una chiave di ci- 
fratura, poi un cifratore, che viene utilizzato per crittare una semplice strin- 
ga. Subito dopo lo stesso cifratore viene reinizializzato per essere utilizzato 
per I'operazione opposta, quella di decrittare. 

package net.ioprogrammo.javasecurity.cap5; 
import java.io.*; 

import java.io.lnputStreamReader; 

import java.security.lnvalidKeyException; 

import java.security.NoSuchAlgorithmException; 

import javax.crypto.BadPaddingException; 

import javax.cn/pto.Cipher; 

import javax.crypto.lllegalBlockSizeException; 

import javax.cn/pto.KeyGenerator; 

import javax.cn/pto.NoSuchPaddingException; 

import javax.cn/pto.SecretKey; 

/** * ©author max */ 

public class EsempioCrittaStringa { 

public static void main(String[] args) 

throws NoSuchAlgorithmException, 

NoSuchPaddingException, 

HlegalBlockSizeException, BadPaddingException, 

InvalidKeyException, lOException { 
BufferedReader reader = 
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(new BufferedReader( 
new InputStreamReader(System.in))); 
//ottenimento della chiave 
KeyGenerator keygen = 

KeyGenerator.getlnstance("DESede"); 
SecretKey desKey = keygen. generateKeyO; 
System. out.println( "Chiave : " + 

new String(desKey.getEncodedO) ); 
//ottenimento di un cifratore 
Cipher desCipher = Cipher.getlnstance("DESede"); 
System.out.print( "Digita il testo : "); 
String clearTextString = reader.readLine(); 
//crittatura 

desCipher.init(Cipher.ENCRYPT_MODE, desKey); 
byte[] cleartext = clearTextString.getBytes(); 
byte[] ciphertext = desCipher.doFinal(cleartext); 
System. out.println( "Testo crittato : " + 

new String(ciphertext) ); 

//descrittatura 
desCipher.init(Cipher.DECRYPT_MODE, desKey); 
byte[] cleartextl = desCipher.doFinal(ciphertext); 

System. out.println( "Testo descrittato: " + 

new String(cleartextl) ); 




I'output e simile al seguente: 

Chiave : e0§ibQ"Jl]*/;|O°@y8iJ&i 
Digita il testo : Prova di testo da cifrare 

Testo crittato : aTEo "Nfini>bxl£)Q-K-Ru|oCeei'qie 
Testo descrittato: Prova di testo da cifrare 
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CIFRATURA Dl FILE 

Le stesse classi utilizzate nell'esempio precedente possono essere utiliz- 
zate per eseguire la cifratura di grosse porzioni di dati, come ad esempio 
quelle contenute in un file. In questo caso non si utilizzera piu il metodo 
della classe cipher doFinal ( ) , ma si chiamera piu volte il meto- 
do update ( ) . 

Nota: Si vedra in uno dei paragrafi successivi che la cifratura di file e 
flussi di dati e supportata da JCE in modo diretto, con altre classi. 

II file di testo che si vuole cifrare e "Meriggiare pal lido ed assorto" di 
Montale (Ossi di seppia, 1916): 

Meriggiare pallido e assorto 

presso un rovente muro d'orto, 

ascoltare tra i pruniegli sterpi 

schiocchi di merli,frusci di serpi. 

Nelle crepe del suolo o su la veccia 
spiar lefile di rosseformiche 
ch'ora si rompono ed ora s' intrecciano 
a sommo di minuscole biche. 

Osservare tra frondi ilpalpitare 
lontano di scaglie di mare 
mentre si levano tremuli scricchi 
di cicale dai calvi picchi. 
E andando nel sole che abbaglia 
sentire con triste meraviglia 
com'e tutta la vita e il suo travaglio 
in questo seguitare una muraglia 
che ha in cima cocci aguzzi di bottiglia. 
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Nell'esempio seguente si esegue la cifratura del file sopra riportato, a 
blocchi di cinque byte alia volta. Questo valore e codificato aH'interno del 
codice nella costante token_length e serve semplicemente per spez- 
zare I'operazione in piu chiamate successive. Come prima e necessario crea- 
re una chiave, che si salva sul file key.txt utilizzando un oggetto Fi- 
leOutputstream. Poi viene letto il file meriggiare.txt, che contiene 
la poesia sopra riportata, utilizzando un oggetto Fileinputstream. 
Tutto il contenuto del file e letto in una volta in un array di byte. Si noti che 
le API di JCE trattano con byte e non con caratteri, dunque e perfetta- 
mente lecito Utilizzare FileOutputStreame Fileinputstream 
e non FileReader 0 FileWriter. 
I dati cifrati sono prodotti nel file meriggiare.crypt.txt, scritto anch'esso con 
un oggetto FileOutputstream. L'operazione di cifratura vera e pro- 
pria awiene nel ciclo for ( ) , che esegue piu chiamate al metodo up- 
date ( ) , passando ciascuna volta il byte d'inizio ed il numero di byte 
da elaborare con riferimento all'array di byte che contiene il file con i da- 
ti non cifrati. Ad ogni chiamata di update ( ) viene restituito un array di 
byte che contiene i dati crittati. Quest'ultimo e scritto nel file di output 
tramite un oggetto di tipo FileOutputstream. 

package net.ioprogrammo.javasecurity.cap5; 

import java.io.File; 

import java.io.FilelnputStream; 

import java.io.FileOutputStream; 

import java.io.lOException; 

import java.security.lnvalidKeyException; 

import java.security.NoSuchAlgorithmException; 

import javax.crypto.BadPaddingException; 

import javax.crypto.Cipher; 

import javax.crypto.lllegalBlockSizeException; 

import javax.crypto.KeyGenerator; 

import javax.crypto.NoSuchPaddingException; 

import javax.crypto.SecretKey; 
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/*** ©author max */ 

public class EsempioCrittaStringalncrementale { 
public static void main(String[] args) 
throws NoSuchAlgorithmException, 
NoSuchPaddingException, 
NlegalBlockSizeException, BadPaddingException, 
InvalidKeyException, lOException { 
final int TOKEN_LENGTH = 5; 
//ottenimento della chiave 
KeyGenerator keygen = 

KeyGenerator.getlnstance("DESede"); 
SecretKey desKey = keygen.generateKeyO; 
FileOutputStream keyFos = 

new FileOutputStreamCkey.txt"); 
keyFos.write( desKey.getEncoded() ); 
keyFos.close(); 

//ottenimento di un cifratore 
Cipher desCipher = Cipher.getlnstancef'DESede"); 
byte[] cleartext = new byte[ 
(int) (new Fi le( "meriggiare.txt")) . Iength() ]; 

FilelnputStream fis = 
new FilelnputStreamCmeriggiare.txt"); 
fis.read(cleartext); 
fis.closeO; 

FileOutputStream fos = 
new FileOutputStreamCmeriggiare.crypt.txt"); 
//crittatura 

desCipher.init(Cipher.ENCRYPT_MODE, desKey); 
for( int i=0; i<cleartext.length; i+= TOKEN_LENGTH) { 
System.out.println( i ); 

byte[] ciphertoken = 
desCipher.update(cleartext, i, 
TOKEN„LENGTH); 
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fos.write(ciphertoken); 

} 

fos.closeO; 

} 



Nota: Osserviamo che la chiamata ad update ( ) potrebbe anche 
ritornare un array di zero byte, nel caso la quantita di dati di input 
nonsiasufficienteaprodurreundatocifrato. 

PARAMETRI DI CIFRATURA 

I diversi algoritmi di cifratura possono essere utilizzati assieme a dei pa- 
rametri di funzionamento, che possono essere passati esplicitamente al me- 
todo init ( ) oppure generati direttamente dall'implementazione del pro- 
vider. I parametri possono essere ottenuti chiamando il metodo get- 
Parameters ( ) , che ritorna null se non ci sono parametri in uso. 
Se ci sono parametri attivi, vengono ritornati sottoforma di oggetti Al- 
gorithmParameters. 

In alcuni casi i parametri possono essere identificati solamente da 
un vettore d'inizializzazione, abbreviate in IV. In questo caso, il 
vettore puo essere ottenuto anche richiamando il metodo ge- 

tIV(). 

Nell'esempio seguente si inizializza un cifratore DES, che nella mo- 
dalita con feedback (p.e. CBC) utilizza un vettore 
d'inizializzazione: 

package net.ioprogrammo.javasecurity.cap5; 
import java.security.lnvalidKeyException; 
import java.security.NoSuchAlgorithmException; 
import javax.crypto.Cipher; 
import javax.crypto.KeyGenerator; 
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import javax.crypto.SecretKey; 
/** * ©author max */ 
public class StampaParametri { 

public static void main(String[] args) 

throws NoSuchAlgorithmException, 
NoSuchPaddingException, 
InvalidKeyException { 

KeyGenerator keygen = 

KeyGenerator.getlnstance("DES"); 
SecretKey desKey = keygen. generateKeyO; 
Cipher cipher = Cipher.getlnstance("DES/CBC/NoPadding"); 
cipher.init(Cipher.ENCRYPT_MODE, desKey); 

System. out.println( cipher.getParameters() ); 

} 

} 

osservando I'output i parametri ritornati dal metodo getParame- 
ters ( ) includono un vettore di inizializzazione: 

iv:[0000: C6 A6 10 1A 55 55 3B EF ....UU;.] 

II provider SunJCE utilizza parametri per i seguenti algoritmi di cifratura: 
DES, DES-EDE, e Blowfish, quando usati in modalita feedback (i.e., 
CBC, CFB, OFB, or PCBC) utilizzano un vettore d' inizializzazione. 
Per inizializzare un cifratore con un IV specifico e possibile usare la 
classe j avax . crypto . spec . IvParameterSpec; 
PBEWithMD5AndDES utilizza un insieme di parametri, incluso un 
numero casuale ed un numero di iterazioni. La classe j avax . cryp- 
to . spec . PBEParameterSpec pud essere usata per inizia- 
lizzare un cifratore con questi parametri. 
Nell'esempio che segue e implementata una operazione di crittografia 
su una stringa digitata dall'utente utilizzando una password sempre pre- 
sa in input. Per eseguire queste operazioni si utlizza una chiave genera- 
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ta usando dei parametri; anche il cifratore viene inizializzato con oppor- 
tuni parametri. 

Per prima cosa, la password digitata dall'utente e utilizzata per costruire 
un oggetto PBEKeySpec, che e passato al metodo generateSe- 
cret () SU un oggetto di tipo SecretKeyFactory. 
La factory si ottiene chiamando il metodo SecretKeyFactory . ge- 
tinstance ( ) e passando il nome dell'algoritmo da utilizzare, in que- 
sto caso PBEWithMD5AndDES. 

Anche il cifratore viene create con lo stesso nome di algoritmo e viene ini- 
zializzato con la chiave creata in precedenza e con parametri specificati 
in un oggetto di tipo PBEParameterSpec, inizalizzato con due pa- 
rametri: il numero casuale (salt) ed il numero di iterazioni. II teste digita- 
te dall'utente viene poi crittato e decrittato con il solito metodo doFi- 
nal(). 

package net.ioprogrammo.javasecurity.cap5; 

import java.io.BufferedReader; 

import java.io.lOException; 

import java.io.lnputStreamReader; 

import java.security.lnvalidAlgorithmParameterException; 

import java.security.lnvalidKeyException; 

import java.security.NoSuchAlgorithmException; 

import java.security.spec.lnvalidKeySpecException; 

import javax.crypto.*; 

import javax.crypto.spec.*; 

/** * ©author max */ 

public class CrittaConPassword { 

public static void main(String[] args) 

throws InvalidKeySpecException, 

NoSuchAlgorithmException, 

NoSuchPaddingException, InvalidKeyException, 

InvalidAlgorithmParameterException, 

INegalStateException, IHegalBlockSizeException, 
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BadPaddingException, 

lOException { 

BufferedReader reader = 

(new BufferedReader 

(new InputStreamReader(System.in))); 

System. out.print("Digita la password da utilizzare: "); 
String passwordString = reader.readLineO; 
System. out.print("Digita il testo da crittare : "); 
String testolnChiaro = reader.readLineO; 

//crea il parametro per la chiave 
char[] password = passwordString.toCharArrayO; 
PBEKeySpec pbeKeySpec = new PBEKeySpec( password ); 
//crea la chiave 
SecretKeyFactory keyFac = 

SecretKeyFactory.getlnstance("PBEWithMD5AndDES"); 
SecretKey pbeKey = keyFac.generateSecret(pbeKeySpec); 

//crea il cifratore 
Cipher cipher = Cipher.getlnstance("PBEWithMD5AndDES"); 

//crea i parametri 
byte[] salt = { 

(byte)Oxca, (byte)Oxfe, (byte)Oxba, (byte)Oxbe, 

(byte)0x21, (byte)0x53, (byte)0x75, (byte)0x99 

}; 

int count = 10; 

PBEParameterSpec pbeParamSpec = 

new PBEParameterSpec(salt, count); 
//critta 

cipher.init(Cipher.ENCRYPT_MODE, pbeKey, pbeParamSpec); 
byte[] testoCifrato = 

cipher.doFinal(testolnChiaro.getBytes()); 
System. out.println("Testo cifrato : " 

+ new String(testoCifrato) ); 

//decritta 
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cipher.init(Cipher.DECRYPT_MODE, pbeKey, pbeParamSpec); 
byte[] testoDecifrato = cipher.doFinal(testoCifrato); 

System. out.println("Testo decifrato : " 

+ new String(testoDecifrato) ); 

} 

} 

un esempio di output e il seguente: 

Digita la password da utilizzare: password 

Digita il testo da crittare : Introduciamo una stringa di prova per 

verificare 

Testo cifrato : AE6K . . . Rf i6Eo 

m~ A qR¥!©gQE"TSb@U(d#A4D™ -f" 

Testo decifrato : Introduciamo una stringa di prova per verificare 

FLUSSI CRITTATI 

Come accennato in precedenza, le API JCE includono una serie di fun- 
zionalita per il supporto a flussi criptati, per I'esattezza con le classi 
Cipher InputStreame CipherOutputStream. Queste com- 
binano sostanzialmente le funzionalita delle classi j ava . io . input- 
stream, j ava . io . OutputStream e Cipher. 
Nell'esempio seguente viene mostrato come utilizzare la classe ciphe- 
rinputstream per crittare i dati in ingresso, che sono letti dal file 
meriggiare.txt utilizzato negli esempi precedenti. II costruttore di ciphe- 
r inputstream si aspetta come primo parametro Io stream da con- 
catenare a quello cifrato e come secondo un cifratore, costruito in modo 
similare agli esempi precedenti. II file di output, chiamato meriggiare.crypt.1 .txt, 
e prodotto da una istanza della classe FileOutputstream. Per pren- 
dere in input tutto il contenuto del file meriggiare.txt, che viene passato 
attraverso Io stream di cifratura e finalmente raggiunge il flusso di output 
e necessario chiamare il metodo copiaFlusso ( inputstream, Out- 
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puStream) . Questo metodo non fa altro che copiare il contenuto del 
flusso di input, a blocchi di 1024 byte, nel flusso di output. 

import java.io.FilelnputStream; 

import java.io.FileOutputStream; 

import java.io.lOException; 

import java.io.lnputStream; 

import java.io.OutputStream; 

import java.security.lnvalidKeyException; 

import java.security.NoSuchAlgorithmException; 

import javax.crypto.Cipher; 

import javax.crypto.CipherlnputStream; 

import javax.crypto.KeyGenerator; 

import javax.crypto.NoSuchPaddingException; 

import javax.crypto.SecretKey; 

/** * ©author max */ 

public class EsempioCrittaFlusso { 

public static void main(String[] args) 

throws NoSuchAlgorithmException, 
NoSuchPaddingException, 
InvalidKeyException, lOException { 
KeyGenerator keyGenerator = 
KeyGenerator.getlnstance("DES"); 
SecretKey key = keyGenerator.generateKeyO; 

Cipher cipher = Cipher.getlnstance("DES"); 
cipher.init(Cipher.ENCRYPT_MODE, key); 
OutputStream outputStream = 
new FileOutputStream("meriggiare.crypt.1 .txt"); 
InputStream inputStream = 
new CipherlnputStream( 

new FilelnputStreamCmeriggiare.txt"), 
cipher); 

copiaFlusso( inputStream, outputStream ); 

I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



JAVA 

HACKING E SICUREZZA 



Crittografia 



Capitolo 5 



inputStream.closeO; 
outputStream.closeO; 

} 

/*** @param inputStream * Oparam outputStream 

* ©throws lOException */ 
private static void copiaFlusso(lnputStream inputStream, 

OutputStream outputStream) throws lOException { 
final int BUF_SIZE = 1024; 
byte[] buffer = new byte[ BUF_SIZE ]; 

int i = 0; 
do{ 

i = inputStream. read(buffer); 

if 0 == -D{ 
break; 

} 

outputStream.write(buffer, 0, i); 
} while (true); 

} 

} 

a questo punto si trovera nella cartella corrente il file meriggiare.crypt. 1 .txt 
contenente i dati criptati (figura 1). 

Figura 1 - rappresentazione esadecimale di un file cifrato con I'algoritmo 
DES 

Per verificare che tutte le operazioni di cifratura siano state completate cor- 
rettamente e possibile eseguire I'operazione inversa, e decrittare il file, 
producendone un altro in chiaro. Per fare questo e possibile utilizzare un 
flusso cipherinputstream il cui cifratore e stato inizializzato per 
eseguire la decrittazione. L'esempio seguente e una variazione del precedente 
a cui e stato aggiunto del codice per leggere il file cifrato prodotto nella 
prima fase, decifrarlo e scrivere il risultato nel file meriggiare.decrypt. 1 .txt. 
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package net.ioprogrammo.javasecurity.cap5; 
import java.io.FilelnputStream; 
import java.io.FileOutputStream; 
import java.io.lOException; 
import java.io.lnputStream; 
import java.io.OutputStream; 
import java.security.lnvalidKeyException; 
import java.security.NoSuchAlgorithmException; 
import javax.crypto.Cipher; 
import javax.crypto.CipherlnputStream; 
import javax.crypto.KeyGenerator; 
import javax.crypto.NoSuchPaddingException; 
import javax.crypto.SecretKey; 
/** * ©author max */ 
public class EsempioCrittaDecrittaFlusso { 
public static void main(String[] args) 

throws NoSuchAlgorithmException, 
NoSuchPaddingException, 
InvalidKeyException, lOException { 
KeyGenerator keyGenerator = 
KeyGenerator.getlnstance("DES"); 
SecretKey key = keyGenerator.generateKeyO; 

Cipher cipher = Cipher.getlnstancef'DES"); 
cipher.init(Cipher.ENCRYPT_MODE, key); 
//critta 

OutputStream outputStream = 

new FileOutputStream("meriggiare.crypt.1 .txt"); 
InputStream inputStream = 
new CipherlnputStream( 

new FilelnputStreamCmeriggiare.txt"), 
cipher); 

copiaFlusso( inputStream, outputStream ); 
inputStream.close(); 
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outputStream.closeO; 
//decritta 

cipher.init(Cipher.DECRYPT_MODE, key); 
outputStream = 

new File0utputStream("meriggiare.decrypt.1 .txt"); 
inputStream = new CipherlnputStream( 

new FilelnputStream("meriggiare.crypt.1 .txt"), 

cipher); 

copiaFlusso( inputStream, outputStream ); 
inputStream. close(); 
outputStream.closeO; 

} 

/** * @param inputStream * ©param outputStream 
* ©throws lOException */ 

private static void copiaFlusso(lnputStream inputStream, 

OutputStream outputStream) throws lOException { 
final int BUF_SIZE = 1024; 
byte[] buffer = new byte[ BUF_SIZE ]; 

int i = 0; 
do{ 

i = inputStream. read(buffer); 

iff a == -D{ 

break; 

} 

outputStream.write(buffer, 0, i); 
} while (true); 

} 

} 

insieme alia classe cipherinputstream e presente la controparte 
CipherOutputstream. Non si confonda uno stream di input e di out- 
put con le operazioni di cifratura e decifratura. Entrambe le classi sono in 
grado di eseguire entrambe le operazioni, in funzione di com'e stato ini- 
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zializzato I'oggetto Cipher passato nel costruttore. 
La differenza e che, nel caso di cipherinputstream, la cifratu- 
ra/decifratura awiene in lettura da un flusso; nel caso di cipherOut- 
putstream, le cifratura/decifratura awiene invece in fase di scrittura 
Sul fluSSO. Le semantiche di Cipherinputstream e Ciphe- 
rOutputstream sono le medesime di normali flussi d'input/output. 

OGGETTI SIGILLATI 

Una caratteristica interessante delle API JCE e il supporto agli oggetti "si- 
gillati" (sealed). Un qualunque oggetto che implementa I'interfaccia j a- 
va . io . Serializable pud infatti essere protetto da cifratura, ad esem- 
pio per poter essere memorizzato o trasferito in modo sicuro. Un ogget- 
to sigillato non e leggibile e le informazioni presenti al suo interno sono 
citrate. Se si serializza una stringa, od un qualunque oggetto che contie- 
ne dati sensibili, come le informazioni legate ad un conto corrente e si 
memorizza I'oggetto serializzato su disco, ce la possibility materiale di cu- 
riosare al suo interno.E' owio che in questo caso non e difficile carpire infor- 
mazioni. II formato di un oggetto serializzato, infatti non prende in con- 
siderazione in alcun modo il problema della sicurezza, ma solo quello di 
organizzare i dati e la struttura della classe in maniera conveniente. Uti- 
lizzando dati sensibili in oggetti serializzati si pud incorrere nel rischio di 
averneviolata la sicurezza, in quanta potenziali malintenzionati possono 
leggernefacilmente le informazioni. 

Per owiare a questo problema si puo cifrare un oggetto serializzato, in mo- 
do da renderlo illeggibile senza la relativa chiave, utilizzando la classe 
SealedObject, il cui costruttore si aspetta un oggetto che imple- 
menta j ava . io . Serializable come primo parametro, ed un og- 
getto cipher come secondo. 

Un oggetto SealedObj ect contiene alcuni metodi getob j ect ( ) 
per estrarre I'oggetto. Come parametro e possibile passare il cifratore re- 
lativo, sottoforma di oggetto cipher, oppure la chiave, sottoforma di og- 
getto Key. La classe SealedOb j ect dispone anche del metodo ge- 
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tAlgorithm ( ) , che ritorna il tipo d'algoritmo utilizzato per la codi- 
fica. 

Nell'esempio seguente viene creato un oggetto ContoCorrente e 
memorizzato in un oggetto sigillato, utilizzando un cifratore DESede. II 
cifratore e la chiave relativa si ottengono come di consueto. 
L'oggetto originale e poi stampato a console, insieme all'oggetto sigilla- 
to ed aH'algoritmo utilizzato. 

package net.ioprogrammo.javasecurity.cap5; 

import java.io.lOException; 

import java.security.lrwalidKeyException; 

import java.security.NoSuchAlgorithmException; 

import javax.crypto.BadPaddingException; 

import javax.crypto.Cipher; 

import javax.crypto.lllegalBlockSizeException; 

import javax.crypto.KeyGenerator; 

import javax.crypto.NoSuchPaddingException; 

import javax.crypto.SealedObject; 

import javax.crypto.SecretKey; 

/*** ©author max*/ 

public class EsempioSigillo { 

public static void main(String[] args) 
throws NoSuchPaddingException, 
INegalBlockSizeException, BadPaddingException, 
InvalidKeyException, NoSuchAlgorithmException, 
lOException, ClassNotFoundException { 
//ottenimento della chiave 
KeyGenerator keyGenerator = 

KeyGenerator.getlnstance(" DESede"); 
SecretKey key = keyGenerator.generateKeyO; 

//ottenimento di un cifratore 
Cipher cipher = Cipher.getlnstance("DESede"); 
cipher.init(Cipher.ENCRYP"LMODE, key); 
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//sigillazione 

ContoCorrente contoCorrente = new ContoCorrente( 

"MARIO ROSSI ","02008", "11929", "881726362/2"); 

SealedObject contoCorrenteSigillato = 

new SealedObject(contoCorrente, cipher); 
//estrazione 

System. out.println( contoCorrenteSigillato ); 

Object obj = contoCorrenteSigillato.getObject( key ); 

System. out.println( obj ); 

System. out.println( 

contoCorrenteSigillato.getAlgorithmO ); 

} 

} 

la classe ContoCorrente e definita come segue: 

package net.ioprogrammo.javasecurity.cap5; 
/*** ©author max*/ 

public class ContoCorrente implements java.io.Serializable { 
private String intestatario; 
private String abi; 
private String cab; 
private String numeroConto; 

public ContoCorrente(String intestatario, String abi, 
String cab, String numeroConto) { 
this.intestatario = intestatario; 
this.abi = abi; 
this.cab = cab; 

this.numeroConto = numeroConto; 

} 

public String toStringO { 
return getClass().getName() + "=[" + 
"intestatario=" + intestatario + ", " + 

I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



JAVA 

HACKING E 5ICUREZZA 



Crittografia 



Capitolo 5 





"abi=" + abi + " 


" + 




"cab=" + cab + 


, " + 




"numeroConto=" 


+ numeroConto + "]"; 


} 


} 



I'output del programma di esempio e simile al seguente: 



javax.crypto.SealedObject@b48197 

net.ioprogrammo.javasecurity.cap5.ContoCorrente=[intestatario=MARIO 
ROSSI, abi=02008, cab=11929, numeroConto=881 726362/2] 
DESede 

Si pud quindi vedere che dall'oggetto sigillato non appare alcuna infor- 
mazione, mentre il dato estratto riporta le informazioni originali con cui 
e stato create. Infine, anche il tipo d'algoritmo corrisponde a quello uti- 
lizzato nel codice. 

OGGETTI CONTROLLATI 

Abbiamo visto fin ora che se si desidera proteggere I'accesso ad un me- 
todo da parte di tutte le istanze dell'applicazione e possibile utilizzare un 
SecurityManager, e sollevare una SecurityException nel 
caso il chiamante non abbia le caratteristiche giuste per chiamare il me- 
todo. 

Ma se si desidera proteggere un metodo di una specifica istanza? Per 
soddisfare quest' esigenza esistono gli oggetti controllati (guarded object). 
In modo similare ad un oggetto sigillato, un GuardedOb j ect incapsula 
un oggetto da controllare insieme ad un oggetto che funge da guardia, 
implementato da classi che implementano I'interfaccia Guard. 
L'accesso da parte del client ad oggetti controllati awiene, in modo simi- 
lare all'utilizzo degli oggetti sigillati, utilizzando il metodo getob j ect ( ) . 
Questo metodo richiama checkGuard ( ) sull'oggetto di guardia as- 
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sociato. Se non ci sono problemi I'oggetto viene restituito, altrimenti vie- 
ne sollevata una SecurityException. 
Nell'esempio seguente viene creato un oggetto di tipo ContoCor- 
rente, che e protetto all'interno di un GuardedOb j ect. L'oggetto 
di guardia e implementato con una classe anonima che non fa altro che 
sollevare I'eccezione SecurityException. E all'interno di questo me- 
todo che devono essere implementati i necessari controlli di sicurezza, 
anche utilizzando le API descritte nel resto del testo. 

package net.ioprogrammo.javasecurity.cap5; 

import java.security.Guard; 

import java.security.GuardedObject; 

/** * ©author max */ 

public class EsempioControllati { 

public static void main( String args[] ) { 

ContoCorrente contoCorrente = new ContoCorrente( 

"MARIO ROSSI ","02008", "11929", "881726362/2"); 
GuardedObject guarded = 
new GuardedObject( 
contoCorrente, 
new GuardO { 

public void checkGuard(Object object) 
throws SecurityException { 
throw new 

SecurityException( 
"impossibile accedere a conti correnti"); 
} 

} 

); 

Object obj = guarded.getObjectO; 
System. out.println( obj ); 

} 

} 
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Una volta richiamato il metodo getob j ect ( ) , viene richiamato il me- 
todo checkGuard ( ) , e viene sollevata I'eccezione. II programma pro- 
duce il seguente output: 

Exception in thread "main" java.lang.SecurityException: impossibile acce 
dere a conti correnti 
at 

net.ioprogrammo.javasecurity.cap5.EsempioControllati$1.checkGuard(Ese 
mpioControllati.java:25) 

at java.security.GuardedObject.getObject(GuardedObject.java:66) 

at 

net.ioprogrammo.javasecurity.cap5.EsempioControllati.main(EsempioContr 
ollati.java:30) 

RICONOSCIMENTO Dl CHIAVI 

Nei protocolli che si basano sul riconoscimento di chiavi (key agreement) 
due parti generano chiavi segrete identiche senza la necessita di tra- 
smettere la chiave. Questo meccanismo si basa sul fatto che le due parti 
si accordano preventivamente su un insieme di valori (un primo, una ba- 
se ed un valore private), che si utilizzano per generare una coppia di chia- 
vi. II primo protocollo di questo tipo fu il Diffie-Helmann, implementato 
dal provider SUN JCE. In questo protocollo due parti usano un generato- 
re che utilizza esponenziali con numeri casuali, in un modo tale che un ter- 
zo non sia in grado di indovinare quale sia la chiave. 

Nota: II protocollo Diffie-Hellmann fu realizzato dall'ente inglese 
per la sicurezza GCHQ sulla base del lavoro di James Ellis, che ha di- 
mostrato negli anni '60 che la crittatura senza chiavi segrete era 
possibile. Negli anni 70 Malcolm Williamson sviluppo il protocollo 



L'esempio seguente mostra come strutturare un processo di riconosci- 
mento, senza pero illustrare I'interazione tra le due parti, che avrebbe ri- 
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chiesto del codice un po' complesso di interazione tra processi. 
Ciascun blocco di operazioni e separata da una stampa di messaggio su 
console, in quanta alcune operazioni, che coinvolgono molte operazioni 
matematiche, possono richiedere una certa quantita di tempo. Soprat- 
tutto le primissime fasi di generazioni dei parametri. L'esempio seguente 
si struttura in una serie di passi (i nomi indicati nell'elenco successivo so- 
no quelli riportati nelle istruzioni System . out . pr intln ( ) nel co- 
dice): 

generatore parametri. Viene istanziato un generatore di para- 
metri per il processo, utilizzato nel passaggio successivo per deter- 
minare i tre valori (primo, base, valore privato); 
parametri generati. I parametri, sottoforma di oggetto di tipo 
DHParameterSpec sono stati generati. Si noti che e possibile 
anche utilizzare dei valori impostati dall'utente, e non passare dal- 
la generazione automatica; 

generatori di chiave. Viene istanziato un generatore di chiavi e ge- 
nerata una coppia di chiavi (pubblica e privata) sottoforma di oggetto 

KeyPair; 

chiavi generate. Dall'oggetto KeyPair e possibile ottenere i 
due oggetti PrivateKey e PublicKey; 
scambio dati. A questo punto e necessario scambiare le chiavi 
pubbliche con la parte con cui si vuole comunicare. La chiave pub- 
blica e convertita in un array di byte tramite il metodo getEnco- 
ded ( ) ed inviata all'altra parte. A sua volta, I'interlocutore ritornera 
la propria chiave pubblica sottoforma di array di byte; 
chiave X509. A questo punto, utilizzando la chiave pubblica rice- 
vuta si crea una chiave X509 (questo e solo uno degli algoritmi tra 
quelli che e possibile utilizzare); 

riconoscimento. Tramite la classe KeyAgreement si awia il pro- 
cesso di mutuo riconoscimento, tramite i metodi init ( ) e doPha- 
se ( ) . Una volta terminata questa fase e possibile proseguire con 
I'utilizzo delle normali API di crittografia, ottenendo una chiave se- 
greta ed istanziando un cifratore. 
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package net.ioprogrammo.javasecurity.cap5; 

import java.security.AlgorithmParameterGenerator; 

import java.security.AlgorithmParameters; 

import java.security.lnvalidAlgorithmParameterException; 

import java.security.lnvalidKeyException; 

import java.security.KeyFactory; 

import java.security.KeyPair; 

import java.security.KeyPairGenerator; 

import java.security.NoSuchAlgorithmException; 

import java.security.PrivateKey; 

import java.security.PublicKey; 

import java.security.spec.lnvalidKeySpecException; 

import java.security.spec.lnvalidParameterSpecException; 

import java.security.spec.X509EncodedKeySpec; 

M [Jul i Java A. Li yuiu. ixcyrtyi cci nciil, 

import javax.crypto.SecretKey; 
import javax.crypto.spec.DHParameterSpec; 
/** * ©author max */ 
public class EsempioDiffieHellmann { 
public static void main(String[] args) 

throws NoSuchAlgorithmException, 
InvalidParameterSpecException, 
InvalidAlgorithmParameterException, 
InvalidKeySpecException, InvalidKeyException { 
System.out.println("awio"); 
//crea il generatore di parametri 
AlgorithmParameterGenerator paramGenerator = 

AlgorithmParameterGenerator.getlnstance("DH"); 
paramGenerator.init(1024); 
System. out.println("generatore parametri"); 
//crea i parametri 
AlgorithmParameters params = 
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DHParameterSpec dhSpec = (DHParameterSpec) 

params.getParameterSpec(DHParameterSpec.class); 
System.out.println("parametri generati"); 

//crea un generatore di chiavi ed una coppia di chiavi 
KeyPairGenerator keyGenerator = 

KeyPairGenerator.getlnstance("DH"); 
keyGenerator.initialize(dhSpec); 
KeyPair keypair = keyGenerator.generateKeyPair(); 
System.out.println("generatore di chiavi"); 

//ottiene la chiave privata e pubblica 
PrivateKey privateKey = keypair.getPrivate(); 
PublicKey publicKey = keypair.getPublic(); 
System.out.println("chiavi generate"); 

//da inviare 

byte[] publicKeyBytes = publicKey.getEncoded(); 
//da ricevere 
publicKeyBytes = null; 

//crea una chiave X509 
X509EncodedKeySpec x509KeySpec = 

new X509EncodedKeySpec(publicKeyBytes); 
KeyFactory keyFact = KeyFactory.getlnstance("DH"); 
publicKey = keyFact.generatePublic(x509KeySpec); 
System.out.println("chiave X509"); 

//avvia il processo di riconoscimento 
KeyAgreement ka = KeyAgreement.getlnstance("DH"); 
ka.init(privateKey); 
ka.doPhase(publicKey, true); 
System.out.println(" riconoscimento"); 

//crea una chiave segreta DES a fronte del 
//riconoscimento avvenuto 
SecretKey secretKey = ka.generateSecret("DES"); 
System.out.println("chiave segreta"); 
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ECCEZIONI 

II codice di esempio qui illustrate utilizza metodi che possono sollevare ec- 
cezioni di diverso tipo, ma che negli esempi sono stati solamente riportati 
al chiamante, senza essere gestiti. In questo modo il codice e di piu sem- 
plice lettura e non e "sovraccaricato" da troppe istruzioni try/catch. 
E interessante pero conoscere queste eccezioni e quando possono esse- 
re sollevate, in modo da poterle gestire opportunamente nel codice 

invalidKeySpecException. Sollevata quando la specifi- 

ca di creazione di una chiave non e valida; 

NoSuchAlgorithmException. Sollevata quando e state ri- 

chiesto un algoritmo di cifratura, ma non e disponibile neH'ambiente 

in uso; 

NoSuchPaddingException. Sollevata quando e stata spe- 
cificata una modalita di riempimento non supportata; 
invalidKeyException. Sollevata per chiavi non valide, ad 
esempio per problemi di encoding, lunghezza errata o non inizializzata; 
I nvalidAlgorithmParameter Except ion. Sollevata 
nel caso di parametri non validi per un algoritmo; 
illegalBlockSizeException. Sollevata quando la lun- 
ghezza dei dati forniti a un cifratore a blocchi e sbagliata, cioe non 
corrisponde alia dimensione del blocco dello specifico cifratore; 
BadPaddingException. Sollevata quando il riempimento dei 
dati e differente da quanta le API si aspettano. 

NUMERI CASUALI 

Nel mondo della sicurezza e della crittografia e importante disporre di 
numeri casuali affidabili, in modo che le operazioni di cifratura funzioni- 
no correttamente. La sicurezza degli algoritmi, visti in questo libra, si ba- 
sa sulla possibility di generare valori segreti da utilizzare in password, 
chiavi crittografiche ed altro. Utilizzare dei numeri non perfettamente ca- 
suali (pseudo-casuali) comporta una riduzione nella sicurezza, in quanta 
un potenziale malintenzionato pud trovare piu semplice il suo compito, ri- 
producendo I'ambiente cha ha generate questi valori pseudo-casuali. 
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Individuare numeri perfettamente casuali, che cioe non siano in alcun 
modo riproducibili, e una attivita molto difficoltosa. Spesso i generatori di 
numeri casuali integrati nelle piattaforme software si basano su un se- 
me, a cui spesso si passa I'ora corrente. Ma algoritmi di calcolo di nume- 
ri casuali che non tengono in considerazione le problematiche legate al- 
ia sicurezza, spesso, a partire dallo stesso seme, producono una serie di 
valori riproducibili. 

Un malintenzionato potrebbe dunque riprodurre i numeri casuali utilizzati 
nel calcolo di password, chiavi od altro, se riesce a sapere il momento in 
cui queste sono state generate. 

Nella piattaforma Java esiste la classe j ava . security . Secure- 
Random, una sottoclasse di j ava . util . Random che fornisce un'im- 
plementazione di un generatore di numeri pseudo-casuali sufficiente- 
mente sicuri da poter essere utilizzati nella crittografia. 
Un generatore di questo tipo (PRNG, Pseudo Random Number Genera- 
tor) e conforme almeno alle specifiche FIPS 140-2, sezione 4.9.1, emes- 
so da un organismo di sicurezza statunitense. 
Inoltre SecureRandom produce un output non-deterministico attraverso 
algoritmi indipendenti daH'implementazione. La creazione di oggetti Se- 
cureRandom awiene sulla base deH'algoritmo richiesto; owiamente il 
provider di sicurezza deve implementare un generatore di numeri pseu- 
do-casuali per I'algoritmo richiesto. 

Nell'esempio seguente vengono generati 1 0 interi casuali utilizzando il ge- 
neratore di numeri pseudo-casuali SHA1 . Per ottenere un oggetto Se- 
cureRandom che implementi questo algoritmo viene chiamato il me- 
todo getinstance ( ) passando il nome deH'algoritmo, in questo ca- 
so SHA1 PRNG. Per estrarre i numeri casuali si utilizzano poi gli stessi me- 
todi della classe Random, in questo caso il metodo nextint ( ) . 

package net.ioprogrammo.javasecurity.appA; 
import java.security.*; 
/** * ©author max */ 
public class EsempioRandom { 
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public static void main(String[] args) 

throws NoSuchAlgorithmException { 

SecureRandom random = 

SecureRandom.getlnstance(" SHA1 PRNG "); 

System. out.print( "Prossimi 10 interi casuali: " ); 
for (inti=0; i<10; i++) { 

System.out.print( random. nextlnt() ); 

System.out.print( ", " ); 

} 

System. out.print( "\n" ); 

} 

I'output prodotto dal programma e simile al seguente: 

Prossimi 10 interi casuali: -1748844003, 1372064759, 581640876, 
1 32051 1 49, -1 09456581 3, -1 741 1 80987, 1 823752571 , -1311 646640, - 
329551438,317211726, 

Percreare un oggetto SecureRandom e possibile anche utilizzare al- 
tri metodi getinstance ( ) , che persecondo parametro si aspettano 
il provider. Questo pud essere espresso sottoforma di oggetto j ava . se- 
curity . Provider, oppure semplicemente come nome. Per sapere 
a che provider appartiene un oggetto SecureRandom e possibile 
chiamare il metodo getProvider ( ) . 

La classe SecureRandom e istanziabile anche direttamente, utiliz- 
zando uno dei suoi costruttori. Utilizzando il costruttore di default, quel- 
lo senza parametri, si ottiene una implementazione fornita dal provider con 
priorita piu alta nell'elenco e che abbia una qualsiasi implementazione di 
SecureRandom. In questo caso pero I'istanza non ha seme, dunque 
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e necessario chiamare il metodo setSeed ( ) per impostarlo; ad ogni 
modo, quest'operazione e facoltativa, in quanta il seme viene generate au- 
tomaticamente alia successiva richiesta di dati casuali. 

Nota: Si noti die i costruttori di SecureRandom sono stati la- 
sciati per compatibility verso il passato, il modo preterite per ottene- 
re un oggetto SecureRandom e I'utilizzo dei metodi getln- 
stance ( ) . 

QUALCHE CENNO STORICO 

Nel corso di questo capitolo si e parlato di diversi algoritmi di cifratura. In 
questo paragrafo viene fornita qualche informazione in piu sulla nascita 
e le caratteristiche dei principali di questi algoritmi. 
DES.Acronimo di Data Encryption Standard e stato adottato nel 1976 co- 
me standard per I'elaborazione delle informazioni federali. All'inizio I'al- 
goritmo ha suscitato discussioni, in quanta faceva uso di elementi di pro- 
gettazione "classificati", una chiave relativamente corta e c'era il sospetto 
che la National Security Agency (NSA) avesse inserito una backdoor. In se- 
guito pero fu intensamente analizzata dal mondo accademico, ed utiliz- 
zata come base per lo studio dei cifratori a blocchi. DES e considerate ora 
non sicuro per molte applicazioni, principalmente in funzione della di- 
mensione limitata della chiave, composta da soli 56 bit. Le chiavi DES di 
questa lunghezza si possono decifrare in 24 ore e sono state trovate del- 
le vulerabilita a livello teorico, ma difficili da mettere in pratica; 
Triple DES. Questa derivazione dell'algoritmo DES e invece considerata 
sicura, anche se e potenzialmente attaccabile. Negli ultimi anni questo 
algoritmo e pero stato reso un po' obsolete dall'AES (Advanced Encryp- 
tion Standard). Non c e un solo modo per concatenare tre chiamate DES, 
ma solo una modalita e sicura. In concrete, il teste in chiaro viene codifi- 
cato con chiave a 56 bit, poi viene decodificato con un'altra chiave a 56 
bit ed il risultato viene ricodificato con una terza chiave, della medesima 
lunghezza; 

Blowfish. Questo algoritmo di crittografia si basa su un cifratore a bloc- 
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chi simmetrico e basato su chiavi sviluppato nel 1 993 da Bruce Schneier 
ed incluso in molti prodotti di crittografia. Non e stata portata a termine 
una analisi approfondita per mettere in discussione I'affidabilita dell'al- 
goritmo, ma I'attenzione si e spostata verso cifratori che lavorano su grup- 
pi di dati di dimensioni maggiori, come AES oTwofish. Blowfish non e co- 
perto da brevetti, ma appartiene al dominio pubblico e pub essere utiliz- 
zato gratuitamente. 
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COMUNICAZIONE SICURA 

La sicurezza non e solo la robustezza a fronte di possibi I i attac- 
chi esterni, ma anche la protezione delle informazioni che non 
devono essere accessibili da osservatori malintenzionati, che 
possono cercare di carpire dati riservati che circolano sutla re- 
te. Questa pratica e nota come sniffing ed e svolta sia su dei 
pacchetti di rete a basso livello che a fronte di comunicazioni 
su flussi; chi esegue lo sniffing delle comunicazioni e alia ri- 
cerca d' informazioni sensibili, come password ed utenze di si- 
stema o numeri di carte di credito. 

PROTEGGERE IL TRASPORTO 

I dati che viaggiano in rete sono facilmente leggibili anche da estra- 
nei e non solo dal destinatario desiderata. Per questo motivo e 
essenziale attuare tutti i meccanismi necessari a proteggere i 
dati in transito. II protocollo piu utilizzato ad oggi e SSL, acronimo 
di Secure Socket Layer. Questo standard si appoggia al protocollo 
TCP/IP, fornendo I'implementazione di flussi crittati che posso- 
no essere sfruttati dai protocolli applicativi. II protocollo ad al- 
to livello che fa maggiormente uso di SSL e http, ma nulla esclu- 
de I'utilizzo degli altri noti protocolli di Internet in congiunzio- 
ne con SSL, nello specifico NNTP (Net News Transfer Protocol), 
Telnet, LDAP (Lightweight Directory Access Protocol), IMAP (In- 
teractive Message Access Protocol) e FTP (File Transfer Proto- 
col). 

SSL e stato sviluppato inizialmente da Netscape nel 1994 
e con I'aiuto dell'intera comunita Internet e stato migliorato 
fino alia sua promozione come standard. Ora e sotto il con- 
trollo di IETF (Internet Engineering Task Force), che ha cam- 
biato nome al protocollo, ora denominatoTLS. La versione 
1 .0 di TLS e sostanzialmente identica a SSL 3.0, con qual- 
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che miglioria in piu. 

SSL implementa I'autenticazione di client e server ed assicura 
la privacy dei dati in transito attraverso Internet utilizzando pro- 
tocolli crittografici. 

Nell'uso tipico solo il server viene autenticato, mentre il client pub 
essere anche sconosciuto. 

Questa e la classica situazione dove un utente privo di certificati 
di sicurezza utilizza un browser per accedere ad un sito Internet 
protetto da SSL e certificati digitali. 

Nel caso si desideri un'autenticazione su ambedue le parti, e 
necessario installare chiavi pubbliche sia su client che su ser- 
ver. II protocollo SLL e basato su una serie di passaggi: la nego- 
ziazione tra i computer per I'algoritmo da utizzare, in funzione 
di quel I i implementati sulle singole macchine; lo scambio del le 
chiavi pubbliche e I'autenticazione basata su certificati; cifratu- 
ra simmetrica del traffico dati. 

Durante la prima fase il client ed il server negoziano quale algoritmo 
di crittografia sara utilizzato. Le implementazioni correnti sup- 
portano gli standard riassunti in tabella 1 . 
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Cenni storici. Alcune del le prime implementazioni di SSL 
potevano utilizzare chiavi simmetriche di soli 40 bit, per via 
delle limitazioni imposte dal governo degli Stati Uniti in 
merito all'esportazione della tecnologia di crittazione. 
Questa imposizione rendeva la chiave a 40 bit piccola a 
sufficienza per poter essere violata con ricerche effettuate 
con supercomputer, ma nello stesso tempo erano inviolabili 
da chi possedeva un' infrastruttura di capacita inferiore. 
Dopo anni di controversie, cause legali, il governo statuni- 
tense ha riconosciuto la possibility di utilizzare chiavi an- 
che piu lunghe, vista anche la disponibilita di algoritmi piu 
sicuri, esistenti sia all'interno che all'esterno degli Stati 
Uniti. Ora le chiavi a 40 bit non sono piu utilizzate, in favo- 
re di quelle a 128. 

INTRODUZIONE A JSSE 

Le Java Security Socket Extension (JSSE) implementano un fra- 
mework per il supporto dei protocolli SSL e TLS ed include fun- 
zionalita di crittazione dei dati, autenticazione del server, inte- 
grity del messaggio e I'autenticazione opzionale del client. Uti- 
lizzando JSSE e possibile implementare la comunicazione sicu- 
ra di dati tra client e server che utilizzano qualsiasi protocollo (ca- 
ratteristiche e benefici sono illustrati in tabella 2). 
Astraendo i complessi algoritmi di sicurezza ed handshaking, 
JSSE minimizza il rischio di creare vulnerability sottili ma molto 
pericolose. 

Inoltre, semplifica lo sviluppo applicativo fungendo da libreria gia 
pronta che gli sviluppatori possono integrare direttamente nel- 
le loro applicazioni. 

JSSE era in precedenza un pacchetto opzionale, creato sot- 
toforma di estensione standard, per la piattaforma Java in 
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versione standard. Da J2SE SDK versione 1 .4 queste API 



ste 



Le JSSE forniscono sia interfacce di programmazione che la re- 
lativa implementazione. Questi elementi integrano le funziona- 
lita presenti nelle funzioni di base per la gestione di rete e nei ser- 
vizi di crittografia descritti nei capitoli precedenti. In particola- 
re, JSSE utilizza la stessa architettura a provider presente in JCA. 
Le API JSSE supportano SSL nelle versioni 2.0 e 3.0 ed il proto- 
cols Transport Layer Security (TLS) in versione 1.0. questi pro- 
tocolli di sicurezza incapsulano un normale flusso socket bidirezionale; 
JSSE aggiunge in modo trasparente il supporto per autentica- 
zione, cifratura e protezione sull'integrita. 



Tabella 2 - Caratteristiche e benefici di JSSE 



esportabile nella maggior parte degli Stati 
supporta SSL 2.0 e 3.0, fornisce un 
supporta ed implementa TLS 1.0 



fornisce il supporto per la negoziazione di cifratori, parte delle procedure 
di handshaking di SSL 

fornisce il supporto all'autenticazione client/server 

fornisce il supporto diretto ad HTTP incapsulato nei protocollo SSL (HTTPS) 

implementa API per la gestione della sessione del server e per gestii 

sessioni SSL residenti in memoria 


supporta RSA con chiavi a 2048 bit per I'autenticazione e 512 e 2048 
per lo scambio chiavi 

supporta RC4 con chiavi effettive a 40 o 1 28 
bit supporta DES con chiavi effettive a 40 o 56 



supporta AES con chiavi a 128 o 256 bit 



supporta Diffie-Hellman per lo scambio chiavi a 512 o 1024 bit 
supporta DSA per I'autenticazione con chiave a 1024 bit 
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Nota: La versione di JSSE presente in J2SE 1.4 supporta 
SSL 3.0 eTLS 1.0 ma non SSL 2.0. 

UN SEMPLICE ESEMPIO 

Un classico utilizzo del protocollo SSL che tutti conoscono e 
quello che consente la comunicazione con siti Web "sicuri". Si- 
ti di vendite on line, aste, banche ed altri enti che trattano dati 
sensibili utilizzano SSL per rendere sicura la comunicazione. 
Quando il protocollo http e veicolato su SSL, invece che il pre- 
fisso http:// assume il prefisso https://. Quando si accede ad un 
sito protetto da SSL dal browser, I'utente ne viene avvisato per 
mezzo di un lucchetto, o icona simile.che appare in qualche par- 
te della finestra. Su Internet Explorer e Mozilla Firefox ad esem- 
pio appare un lucchetto giallo in fondo alia finestra. Su Firefox, 
inoltre, lo sfondo del campo di testo che contiene I'URL corren- 
te diventa giallo. Su Safari di Apple appare un lucchetto nero in 
alto a destra. In questo modo I'utente capisce immediatamen- 
te se si trova in una connessione protetta o meno, il che , natu- 
ralmente, e di rilevante importanza. 

Figura 1 - un lucchetto 
nella finestra del browser 
indica che il sito e protetto 
da SSL 




Utilizzando siti che sfruttano SSL quindi si e abbastanza sicuri 
della privacy della comunicazione o per lo meno di ridurre il piu 
possibile la possibility che i dati in transito vengano intercetta- 
ti e decodificati. 

Anche da Java, sfruttando JSSE, e possibile istaurare una connessione 
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sicura, in modo semplice e veloce. Per fare questo e sufficiente 
creare un oggetto j ava . net . url che rappresenti I'indiriz- 
zo del server HTTPS da richiamare e su questo richiamare il me- 
todo openConnection ( ) . Questo ritorna un oggetto url- 
Connection che permette di ottenere un oggetto Input- 
Stream da cui e possibile leggere la riposta http. 
Tutta la gestione del protocollo SSL avviene internamente, sen- 
za la necessita di interventi da parte dell'utente. 
Nel listato seguente e presente un programma completo di esem- 
pio, che non fa altro che instaurare un collegamento con il sito 
https://titolari.cartasi.it, ottenere una connessione e leg- 
gere il file index.html. II testo viene letto un carattere alia volta 
e viene inserito in un oggetto stringBuffer. Viene poi cer- 
cato all'interno del testo il tag <titie> e da questo viene 
estratto il titolo della pagina, che viene poi stampato su conso- 
le: 

package net.ioprogrammo.javasecurity.cap6; 
import java.io.*; 
import java.net.*; 
/** * ©author max */ 
public class SSLTest { 

public static void main(String[] args) 

throws MalformedURLException, lOException { 

//crea un oggetto che rappresenta I'URL criptato 
URL url = new URL(" https://titolari.cartasi.it"); 

//instaura una connessione alia pagina principale 
URLConnection con = url.openConnection(); 

//lo stream ottenuto viene decodificato automaticamente 
InputStream in = con.getlnputStream(); 

//esegue un ciclo di lettura del file ed inserisce i 
//contenuti in un buffer 
StringBuffer sb = new StringBufferQ; 
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int c; 

whilef (c = in.readO) != -1 ) { 
sb.append( (char)c ); 

} 

//in modo molto "sporco", individua i tag di inizio 
//e fine del titolo e ne estrae il contenuto 
String html = sb.toStringO; 
int pos = html.indexOf("<title>"); 
html = html.substring(pos+7); 
pos = html.indexOf("</title>"); 
html = html.substring(0,pos); 

//Titolo del la pagina: Portale Titolari: Le mie pagine 
//produce in output il titolo della pagina principale 
System.out.println( "Titolo della pagina: " + html ); 

} 

} 

I'output del programma e il seguente: 
Titolo della pagina: Portale Titolari: Le mie pagine 

UTILIZZARE LE API 

Se I'utilizzo di connessioni https e banale, un po' piu comples- 
so e I'utilizzo di connessioni dirette tramite socket protette. In que- 
sto paragrafo si vedranno le principali API a basso livello che 
permettono di implementare questa funzionalita.Le funziona- 
lita di JSSE sono contenute in due package: j avax . net e 
j avax . net . ssl. Nel primo si trovano le due classi Ser- 
verSocketFactory e SocketFactory, che imple- 
mentano factory di socket client e server che fungono da classi 
base per le factory specifiche per SSL, contenute invece nel 
package j avax . net . ssl.L'utilizzo di SSL e leggermente 
differente rispetto a quello utilizzato con le normali socket. 
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Se per connettersi ad un server non sicuro e possibile scrivere: 

Socket s = new java.net.Socket(host, port); 
Per accedere ad una socket sicura e necessario ottenere una fac- 
tory di default con il metodo getDef ault ( ) presente nella 
classe SSLSocketFactory: 

SSLSocketFactory sslFact = 

(SSLSocketFactory)SSLSocketFactory.getDefault(); 

SSLSocket sslSocket = (SSLSocket)sslFact.createSocket(host, port); 

Sull'oggetto sslSocket e possibile poi eseguire le normali 
operazioni di lettura e scrittura su flusso: 

InputStream in = s.getlnputStream(); 

DataOutputStream out = new DataOutputStream( s.getOutputStream() 

); 

out.writeUTF("Dati di inviare al server"); 

Sul lato server il meccanismo di funzionamento e molto simile. 
Si consideri un classico programma server che rimane in ascol- 
to e per ogni client imposta un ciclo di acquisizione per elabo- 
rare ogni singola riga di testo ricevuta dal client: 

ServerSocket serverSocket = new ServerSocket(port); 
Socket client = serverSocket.accept(); 
PrintWriter out = new PrintWriter( 
client.getOutputStreamO, true); 
BufferedReader in = new BufferedReader( 

new lnputStreamReader( client.getlnputStream() ) ); 
while (true) { 
String input = in.readLine(); 
if (input == null) { 
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break; 

} 

String output = elaborazione(input); 
if( output == null ) { 
break; 

} 

} 

La versione sicura di questa porzione di codice e ottenibile so- 
stituendo la creazione del la socket server con quella di una 
socket sicura. Per fare cio e necessario per prima cosa ottenere 
una SSLServerSocketFactory tramite il metodo get- 
Default ( ) e da questa creare una socket server sicura, con 
una chiamata a createServerSocket ( ) : 

SSLServerSocketFactory sslSrvFact = 

(SSLServerSocketFactory)SSLServerSocketFactory. 
getDefault(); 

SSLServerSocket s = 

(SSLServerSocket)sslSrvFact. 
createServerSocket(port); 

SSLSocket client = (SSLSocket)s.accept(); 

successivamente sara mostrato un esempio completo di comu- 
nicazione tramite socket basata su SSL. 

UNA VISIONE DI INSIEME 

Prima di avventurarsi oltre nelle API di JSSE e opportuno af- 
frontarne il quadro generale, per capire quali sono gli elementi 
presenti e come sfruttarli. Lo schema delle principali classi pre- 
senti in JSSE e illustrato in figura 2. Come si nota osservando la 



I libri di ioPROGRAMMO/JAVA HACKING E SICUREZZA 



JAVA 

HACKING E 5ICUREZZA 



Comunicazione sicura 



Capitolo 6 



figura le API JSSE interagiscono direttamente con quelle pre- 
senti nel sottosistema di gestione del la rete presente nella piat- 





networking J2SE 
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Figura 2 - relazione tra le classi presenti in JSSE 



taforma Java. Le classi sSLSocket e sSLServerSocket 
derivano infatti da j ava . net . Socket e j ava . net . Ser- 
verSocket. 

CONTESTI 

Nel diagramma della figura 1 e mostrata la classe 
javax.net.ssl.SSLContext. Quest'ultima e un mo- 
tore per la creazione delle factory SSL per la produzione di socket 

(SSLSocketFactory e SSLServerSocketFactory). 
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Le factory pero hanno anche il metodo getDef ault ( ) che per- 
mettono di evitare di dover per forza istanziare un contesto. 

Lo stesso oggetto sSLContext mantiene tutto lo stato con- 
diviso attraverso le diverse socket create in quel contesto, co- 
me ad esempio lo stato di sessione generato da un processo di 
handshake tra due punti negoziato durante la connessione. Le 
sessioni sono quindi condivise da tutte le socket create sotto lo 
stesso contesto. 

In questo modo la connessione alle risorse ne risulta ottimizza- 
ta: connessioni successive tra gli stessi host avverranno senza la 
necessita di riprendere il protocollo di autenticazione dal primo 
passo. Le istanze di SSLContext sono generate dal metodo 
statico getinstance ( ) presente nella classe stessa; I'i- 
stanza ritornata implementa almeno il protocollo richiesto: po- 
trebbe infatti implementare anche altri protocolli, in funzione 
deH'implementazione di SSLContext e dell'opportunita del 
momento. II nome del protocollo da passare al metodo ge- 
tinstance ( ) e una stringa (i possibili valori sono SSL, SSLv2, 
SSLv3,TLS,TLSv1). 

Se ad esempio, si desidera stabilire una connessione socket con 
TLS versione 1 .0, si puo richiedere una socket specifica tramite 
un contesto specifico: 

SSLContext securityContext = 

SSLContext.getlnstance("TLSv1 "); 

//... 

SSLSocketFactory socketFactory = 

securityContext.getSocketFactoryO; 
SSLSocket socket = 

socketFactory.createSocket(); 
Ciascun oggetto SSLContext dovrebbe essere inizializzato tramite 
il metodo init(), definito come segue: 
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public void init(KeyManager[] km, TrustManager[] tm, 
SecureRandom random); 

II primo parametro identifica I'insieme di KeyManager da 
utilizzare: questi gestiscono le chiavi pubbliche da utilizzare per 
la convalida del la comunicazione. Lo scopo primario della clas- 
se KeyManager e quello di selezionare le credenziali di au- 
tenticazione che dovrebbero essere inviate all'host remoto; se 
non viene specificato nessun KeyManager particolare ed il 
contesto utilizzato e quello di default verra molto probabilmente 
impostato un manager basato su certificati X509 basato su 
chiavi pubbliche; altri meccanismi potrebbero invece includere 
I'autenticazione Kerberos o altri meccanismi. 
L'arraydi oggetti TrustManager sono invece utilizzati perve- 
rificare se le credenziali fornite dal sistema remoto possono es- 
sere accettate. Anche in questo caso, una configurazione tipica 
e basata su certificati X509. 

Entrambe le classi fungono da classe base per eventuali classi 
derivate; I'istanza effettiva da utilizzare viene ritornata dalle 
due factory dedicate TrustManagerFactory e KeyMa- 
nagerFactory. 

II provider di default implementa factory che ritornano classi 
basilari basate sul protocollo X509 e su PKIX. 

SESSIONE 

L'oggetto ssLSession che rappresenta la sessione corrente 
e ottenibile a partire dalla socket, tramite il metodo getSes- 
sion ( ) . 

L'interfaccia ssLSession definisce diversi metodi di utilita, 
come ad esempio quelli elencati in tabella 3. 

Nota: la classe Certificate fa parte di JCE. 
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Tabella 3 - metodi dell'interfaccia SSLSession 


metodo 


descrizione 


getCreationTime () 


Ritorna ia data di creazione della sessione 


getldO 


Ritorna I'identificativo univoco associato alia sessione 


getLastAccessedTie 


Ritorna la data di ultimo accesso alia sessione 


getPeerHost ( ) 


Ritorna il nome dell'host a cui si e connessi 


getProtocol ( ) 


Ritorna il nome del protocollo utilizzato per la connessione 


invalidate ( ) 


Invalida la sessione 


getCipherSuite ( ) 


Ritorna il nome della suite di cifratura utilizzata che definisce sostan- 
zialmente il livello di protezione con cui i dati sono inviati sulla rete, 
incluso il tipo di crittatura utilizzato 


Certificate [ ] getLo- 
calCertif icates ( ) 


Ritorna un array dei certificati inviati alia controparte durante la fase 
di handshaking 


Certificate [ ] get- 
PeerCert if icates ( ) 


Ritorna I'identita della controparte definita durante I'instaurazione 
della connessione 



KEYSTORE 

II keystore e un oggetto che contiene certificati e chiavi. La clas- 
se j ava .security. Keys tore implementa questo con- 
tenitore in memoria. Per ottenere oggetti KeyStore e ne- 
cessario chiamare il metodo statico getinstance ( ) , che si 
aspetta il tipo di keystore da istanziare. SUN fornisce di default 
il tipo JKS, che consiste essenzialmente in un' implementazione 
basata su file di testo. 

Per gestire i certificati e le chiavi presenti nel keystore di questo 
tipo troviamo il comando keytool. 

La documentazione completa e presente all'indirizzo http://ja- 

va.sun.com/j2se/1.5.0/docs/tooldocs/#security. 

II keystore di default nella piattaforma Java e di tipo JKS e me- 

morizzato nel JRE sotto lib/security/cacerts, ma e possibile crea- 

re i propri keystore su file utilizzando il comando keytool. 
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La classe KeyStore consente di: 

ottenere istanze tramite getinstance ( ) ; 
caricare un file in memoria tramite il metodo load ( ) ; 
ottenere un elenco di alias tramite il metodo Enumera- 
tion aliases ( ) ; 

determinare se un elemento e un certificato oppure una 

chiave, tramite i metodi isKeyEntry (String) e 

isCertif icateEntry (String) ; 

cancellare elementi con il metodo 

deleteEntry (String) ; 

ottenere informazioni dal keystore tramite metodi 

Certificate getCertificate (String), 

Certificate [ ] getCertif icateChain (String) ; 

salvare lo stato del keystore con il metodo 

store (OutputStream, char [ ] ) . 

ECCEZIONI 

Durante tutte le operazioni relative ad SSL descritte in prece- 

denza, potrebbero verificarsi problemi di vario genere. 

II framework JSSE modella le situazioni anomale che si possono 

verificare con diverse eccezioni diverse: 

SSLException. Eccezione generica che segnala pro- 
blemi con il livello di supporto al protocollo SSL; 
SSLHandshakeException. 
Eccezione sollevata se le parti non sono in grado di nego- 
ziare un livello di sicurezza soddisfacente. La connessione 
risultante e inutilizzabile; 

ssLKeyException. Indica una chiave SSL errata, soli- 
tamente si verifica quando il server od il client hanno un 
problema di configurazioni delle chiavi di sicurezza; 
SSLPeerUnverif iedException. Indica che la COn- 
troparte non e stata correttamente verificata, ad esempio per 
via della mancanza di certificati, oppure perche si sta utilizzando 
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una specifica suite di cifratura che non supporta I'autenti- 
cazione, oppure per via di un'operazione di handshaking 
che non ha prodotto autenticazione; 
SSLProtocolException. Riporta un problema di 
protocollo, solitamente per via di un problema di program- 
mazione nelle implementazioni dei protocolli. 
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